Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Процесс svchost.exe запущен от имени пользователя (http://forum.oszone.net/showthread.php?t=119554)

tarakan1983 09-10-2008 09:06 919406
Доброго времени суток у меня такая проблема процесс svchost.exe запущен от имени пользователя, а как я понял из всего Рунета это Троян. Но проблема в том, что, ни один антивирус не определяет его, комп сканировался каспером 6, нодом и набором бесплатных утилит(procexp, AnVir Task Manager, FixWelch, Dr.Web CureIt). Файл svchost.exe лежит в двух местах (см прил). помогите пожалуйста определить что за зверь. Выкладываю логи по правилам.

Pili 09-10-2008 09:58 919430
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\svchost.exe:debug.exe:$DATA','');
 QuarantineFile('C:\temp\HWiNFO32.SYS','');
 QuarantineFile('C:\Program Files\Total Sorofix 888\Programm\VolumeControl\volume.exe','');
 QuarantineFile('C:\Program Files\CLCL\CLCL.exe','');
 QuarantineFile('C:\Program Files\RimArts\B2\B2.exe','');
 DeleteFile('c:\windows\system32\svchost.exe:debug.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Цитата:
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
Можете деинсталлировать System Spyware Interrogator (SysEnforce) и AdAwarePortable
Удалите Bonjour Service см. здесь или здесь
Повторите логи. Если лог от Kaspersky Online Scanner сохранился, можете его запаковать и приложить.

tarakan1983 09-10-2008 21:48 920025
Спасибо большое! На почту файлик отправил. А не могли бы вы подробнее объяснить что это за хрень, откуда она берется и что мы с вами сделали этими скриптами. И такой вопрос теперь не доверяю ни касперу ни доктору вебу ни ноду, хочу поставить zone allarm, не посоветуете какую версию лучше? Логи вылаживаю в AVZ были еще красные надписи это ничего?

Pili 10-10-2008 09:02 920289
Цитата:
Цитата tarakan1983
что мы с вами сделали этими скриптами. »
Взяли на проверку некоторые файлы и удалили файл в потоке NTFS (см. Альтернативные потоки данных NTFS), зловред опознается антивирусом Avira как TR/Dldr.Delphi.Gen, скоро и Касперский будет его опознавать. ZA больше брандмауэр, чем антивирус, хотя модуль антивируса есть, имхо лучше ставить проверенные антивирусы (KAV/KIS, Avira, Drweb). Последние версии ZA есть на сайте производителя
Цитата:
Цитата tarakan1983
Логи вылаживаю в AVZ были еще красные надписи это ничего? »
Если вы о перехватчиках типа
Цитата:
Функция NtClose (19) перехвачена (805BAEB4->B6D1BC00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Это нормально
Файла HWiNFO32.SYS физически нет, поэтому можно почистить реестр, выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('HWiNFO32');
 DeleteFile('C:\temp\HWiNFO32.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
Некоторые файлы из карантина ушли на анализ вирлаб, подождем ответа.

tarakan1983 10-10-2008 09:06 920296
Примного благодарен за полный ответ

Pili 11-10-2008 16:25 921256
tarakan1983, пришел ответ из вирлаба по файлам CLCL.exe и svchost.exe:debug.exe:$DATA
Цитата:
No malicious software was found in the attached file.

tarakan1983 11-10-2008 17:05 921269
По поводу CLCL.exe, это дополнительная примочка к буферу обмена, я все логи смотрел сам, все что там могу объяснить кроме svchost.exe:debug.exe:$DATA. Извените за тупость, что означает

No malicious software was found in the attached file.

Нет вирусов?

Pili 13-10-2008 07:57 922321
tarakan1983, это значит, что аналитики вирлаба не нашли в файлах ничего вредоносного, рез-ты virustotal здесь


Время: 21:02.

Время: 21:02.
© OSzone.net 2001-