Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус Svshost.exe и его хвосты

Razzoid

Автор Razzoid
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Razzoid

Razzoid

Опубликовано
Опубликовано

Попался на вирус Svshost.exe, даже после его удаления Касперским с помощью перезагрузки,он все равно его поймал снова. Плюс стали вылетать стандартные программы с ошибками. 

CollectionLog-2019.02.21-11.32.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Пока в логах ничего подозрительного не видно.

Сейчас тоже антивирус обнаруживает? Если да, покажите его отчет (можно скриншотом).

 

Плюс стали вылетать стандартные программы с ошибками

Какие программы, какие ошибки?
Ссылка на комментарий
Поделиться на другие сайты
Razzoid

Razzoid

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Пока в логах ничего подозрительного не видно.

Сейчас тоже антивирус обнаруживает? Если да, покажите его отчет (можно скриншотом).

 

Плюс стали вылетать стандартные программы с ошибками

Какие программы, какие ошибки?

 

Вроде после перезагрузки больше не попадался он.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Razzoid

Razzoid

Опубликовано
  • Автор
Опубликовано

Парни спасибо за помощь,делаете благородное дело. 
Вот прошло пару дней. Я скачал установочный файл,нужна была программа,а как я понял,это была не она. Установились какие то левые программы,одну из них Касперский снес. Другие я вручную,ну может где то все равно остались. Поэтому прогнал еще раз автологгером

CollectionLog-2019.02.24-18.54.zip

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Online Application

Игровой центр

удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Windows Mail\M324W0W7SZKEEXF0RT6C\Bhb6kmstUE.exe','');
 QuarantineFile('C:\Program Files\Windows Mail\M324W0W7SZKEEXF0RT6C\YwNN_7xZjb.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YwNN_7xZjb.exe','x32');
 DeleteFile('C:\Program Files\Windows Mail\M324W0W7SZKEEXF0RT6C\YwNN_7xZjb.exe','32');
 DeleteFile('C:\Program Files\Windows Mail\M324W0W7SZKEEXF0RT6C\Bhb6kmstUE.exe','64');
 DeleteFile('C:\Program Files\Windows Mail\M324W0W7SZKEEXF0RT6C\YwNN_7xZjb.exe','64');
 DeleteFile('C:\Users\Razzoid\AppData\Local\GameCenter\GameCenter.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GameCenter','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YwNN_7xZjb.exe','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OMEWPRODUCT_','x64');
 DeleteSchedulerTask('bkuMqFzlOtXvMiMKKJj.job');
 DeleteSchedulerTask('bkuZfsfYYTfmucmmwvN.job');
 DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe','32');
 DeleteFile('C:\Users\Razzoid\AppData\Local\Temp\s2w0ufup.nse\nuwpqicunde.exe','32');
 DeleteFile('C:\Users\Razzoid\AppData\Local\Temp\e4u00o0q.l5d\nuwpqicunde.exe','32');
 DeleteSchedulerTask('Online Application V2G1.job');
 DeleteSchedulerTask('Online Application V2G2.job');
 DeleteSchedulerTask('Online Application V2G3.job');
 DeleteSchedulerTask('Online Application V2G4.job');
 DeleteSchedulerTask('Online Application V2G5.job');
 DeleteSchedulerTask('Online Application V2G6.job');
 DeleteSchedulerTask('Updater_Online_Application.job');
 DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe','32');
 DeleteSchedulerTask('Updater_Online_Application');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Скачайте новую версию Autologger по ссылке в правилах.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2019-02-24 18:23 - 2019-02-24 18:23 - 000722944 _____ C:\Users\Razzoid\AppData\Local\sha.db
2019-02-24 18:23 - 2019-02-24 18:23 - 000140800 _____ C:\Users\Razzoid\AppData\Local\installer.dat
2019-02-24 18:23 - 2019-02-24 18:23 - 000011568 _____ C:\Users\Razzoid\AppData\Local\InstallationConfiguration.xml
2019-02-24 18:22 - 2019-02-24 18:22 - 000000000 ____D C:\Program Files (x86)\wxcereh
2019-02-24 18:21 - 2019-02-24 18:21 - 000000000 ____D C:\Users\Razzoid\AppData\Roaming\Microleaves
2019-02-24 18:21 - 2019-02-24 18:21 - 000000000 ____D C:\Users\Razzoid\AppData\Local\AdvinstAnalytics
2019-02-24 18:21 - 2019-02-24 18:21 - 000000000 ____D C:\Program Files (x86)\Microleaves
2019-02-24 18:23 - 2019-02-24 18:23 - 000375522 _____ (                                                            ) C:\Users\Razzoid\AppData\Local\Temp\5yvabfqt2ci.exe
FirewallRules: [{3239CA09-4023-4D73-9EA5-DE7F85C358C3}] => (Allow) C:\Games\APB Reloaded\Binaries\APB_BE.exe No File
FirewallRules: [{3BDB54C0-3CD8-469C-911C-BABAE1E630C4}] => (Allow) C:\Games\APB Reloaded\Binaries\APB_BE.exe No File
FirewallRules: [{F3856B49-F57A-46FA-A99A-9C45830C826A}] => (Allow) C:\Games\APB Reloaded\Binaries\VivoxVoiceService.exe No File
FirewallRules: [{4C9CE0AB-D1F6-4588-80B0-13D97A255E3B}] => (Allow) C:\Games\APB Reloaded\Binaries\VivoxVoiceService.exe No File
FirewallRules: [TCP Query User{BE1CB0E2-87AE-426F-8980-771EE78F2C79}C:\users\razzoid\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\razzoid\appdata\local\gamecenter\gamecenter.exe No File
FirewallRules: [UDP Query User{8CBF6CF8-5FD6-4AB2-BBC8-4D5F0A9BAA01}C:\users\razzoid\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\razzoid\appdata\local\gamecenter\gamecenter.exe No File
FirewallRules: [TCP Query User{26874443-579B-43C4-9F47-BD2EF8EE50D4}C:\users\razzoid\appdata\local\gamecenter\gamecenter.exe] => (Block) C:\users\razzoid\appdata\local\gamecenter\gamecenter.exe No File
FirewallRules: [UDP Query User{F4C00D8E-F727-442E-8203-4D6B250CC9D8}C:\users\razzoid\appdata\local\gamecenter\gamecenter.exe] => (Block) C:\users\razzoid\appdata\local\gamecenter\gamecenter.exe No File
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • naxio11
      [РЕШЕНО] Очистка хвостов с помощью FRST
      Автор naxio11
      Здравствуйте!
      После нескольких месяцев подозрений на вирусы, решился на проверку
      Всё было по классике - dr web curiet нельзя было скачать. Любые попытки скачать и/или найти информацию о нём - Закрывался браузер. Если все-же получалось зайти на сайт, то вдруг оказывалось что сайт не работает ( Удивительно )

      В общем:
      Скачал cureit через телефон
      Запустил проверку без интернета
      Нашёл 22 вируса
      cureit Удалил не всё ( Пришлось переходить по путям, и самостоятельно удалять файлы )
      Перезагрузил пк
      Нашёл ещё 1 вирус, удалил
      Перезагрузил пк
      Подключил Ethernet
      Запустил проверку, нашёл NET.MALWARE.URL
      Почистил расширения, угроза ушла
      Почитал ваш форум, решил запустить FRST
      В логах нашёл пользователя John ( По прошлым темам понял что это майнер )
      В логах есть ещё другие подозрительные моменты

      Итог:
      Пк работает нормально, не греется как раньше
      Хочу для спокойствия удалить остатки фигни с вашей помощью ( Используя FRST )
      Логи прикрепил снизу
      Надеюсь на скорейший ответ


      Addition.txtFRST.txt  Логов с curiet не будет, так как логи с вирусами я не сохранил ( дурак ), а последние логи - Чистые

       
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
×
×
  • Создать...