Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   svhost.exe (http://forum.oszone.net/showthread.php?t=185914)

CeHbKA 19-09-2010 20:12 1499290
svhost.exe
 
Вложений: 2
При загрузке винды начало вдруг вываливаться вот такое окошечко.
http://forum.oszone.net/attachment.p...1&d=1284912200
После нажатия на кнопку ОК пропадает звук, а также интернет. Если инет включен, то странички перестают грузиться и тд, а соединение разорвать невозможно. Если же инет не включен, после нажатия на ОК, включится просто невозможно, выдает какую-то ошибку подключения (800 что ли). Рылся в гугле - результат 0.
Конечно, вирусы и тд и тп... Но! На компе нод32 постоянно обновляется, последний аутпост также обновляющийся, автоапдейт винды включен, тоже прекрасно обновляется.
До этого еще была не большая проблема с firefox тоже отказался работать, какой-то файл js**** что то с ним было. Но там проблема решилась переустановкой файрфокса. Здесь же сносить винду - мне не вариант.
Пожалуйста, помогите!!!! В событиях ничего нет! В автозагрузке тоже ничего лишнего не нашел. Перепроверялся уже кучу раз разными тулзами и и своим нодом, утилита от касперского правда что-то нашла - удалил те несколько файлов, но результата нет. Остальные ничего не видят.
файл с конфой

Пожалуйста, помогите

Arbitr 19-09-2010 21:42 1499358
помогаем http://forum.oszone.net/thread-98169.html

CeHbKA 19-09-2010 23:49 1499433
Сейчас делаю логи, так же заметил, что из пуска пропал "осел". При попытке запустить его с родного экзешника было обнаружено что сам iexplore.exe скрыт и галку убрать невозможно.

Что за хрень я подцепил?? О_о

Arbitr 19-09-2010 23:58 1499437
Цитата:
Цитата CeHbKA
Что за хрень я подцепил?? О_о »
вирус зловред ..как еще его называют??)) а точное название скажем после лечения

CeHbKA 20-09-2010 00:13 1499444
Вложений: 1
Прикрепляю заветные файлики, если что не так укажите :)

HiJackThis
virusinfo_syscure.zip
virusinfo_syscheck.zip

Arbitr 20-09-2010 01:22 1499487
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
плюс сделайте лог RSIT

iskander-k 20-09-2010 09:30 1499624
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы.

    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\AKON\BYONC\AKON.exe','');
QuarantineFile('acs.exe','');
 QuarantineFile('C:\WINDOWS\system32\REBUILDI.EXE','');
DeleteFile('C:\AKON\BYONC\AKON.exe');
DeleteFileMask('C:\AKON', '*.*', true);
DeleteDirectory('C:\AKON');
DelCLSID('{63MAD6M8-1MAD-81AD-JIM6-26OP5G6789085}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

CeHbKA 20-09-2010 20:47 1500185
Вложений: 1
Arbitr, вот логи anti-malware

http://forum.oszone.net/attachment.p...1&d=1285001195

Arbitr 20-09-2010 20:49 1500186
удалите плиз с помощью MBAM следующие строчки
Цитата:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g6789085} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g6789085} (Backdoor.Bot) -> No action taken.
ответ карантина пришел? что с проблемами??

CeHbKA 20-09-2010 20:59 1500195
Удалил. Карантин еще не отсылал, с работы недавно пришел. Сейчас занимаюсь.

Arbitr 20-09-2010 21:11 1500205
Цитата:
Цитата Arbitr
что с проблемами?? »
то бишь как себя больной чуйствует??

CeHbKA 20-09-2010 22:00 1500248
Пока без изменений, проверился уже много чем. Пока нет возможности сделать карантин. Выскажете пожалуйста свое предположение, что это может быть?

iskander-k 20-09-2010 22:01 1500250
Вы выполнили скрипт АВЗ ? И почему не получается с карантином ?

CeHbKA 21-09-2010 00:03 1500326
Оказывается данная проблема была вызвана ПО под названием LogMe In Hamachi. Стал выполнять скрипт по рекомендациям тов.iskander-k, отключил все соединения и hamachi (она создаёт тип подключение по лок сети), скрипт был выполнен, далее перезагрузка. Ошибки нет, о чудо, думаю. Включил соединение hamachi и стала вылазить ошибка Generic Win32 Host Process, она так и не переставала вылазить при загрузке винды и отключить соединение hamachi\подключиться к инету не удавалось. Пришлось прогу удалить, рещультат - все в ажуре, никаких ошибок нет. Сейчас попробую заново скачать и поставить.
Вопрос в том, почему раньше эта ошибка не вылазила, если конфликт был связан именно с hamachi ??

Поистине, Винда - уникальный продукт O__o
Переустановка Hamachi не вызвала никаких проблем, соединение вновь создается, все прекрасно работает и никаких ошибок. Я чист, Господи!!!

Спасибо всем большое, за помощь и терпение, а также за уважительную культуру общения (давно такого не встречал).
PS есть тут смайлик "I_love_osZone" ??

Arbitr 21-09-2010 00:28 1500346
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

CeHbKA 21-09-2010 10:35 1500552
Не могли бы вы объяснить ход своих мыслей? Ну описать данную программу и что вы хотите увидеть в данных логах?

Arbitr 21-09-2010 11:08 1500567
Цитата:
Цитата CeHbKA
После нажатия на кнопку ОК пропадает звук, а также интернет. Если инет включен, то странички перестают грузиться и тд, а соединение разорвать невозможно. Если же инет не включен, после нажатия на ОК, включится просто невозможно, выдает какую-то ошибку подключения (800 что ли). »
Цитата:
Цитата CeHbKA
Здесь же сносить винду - мне не вариант.
Пожалуйста, помогите!!!! »
Цитата:
Цитата CeHbKA
Не могли бы вы объяснить ход своих мыслей? »
как мы видим вы жалуетесь на заражение..обычными средствами решить оперативно не можем..поэтому предлагаю более "жесткий" вариант
Цитата:
Цитата CeHbKA
что вы хотите увидеть в данных логах? »
хотим увидеть заражение или отсутствие такового.
Цитата:
Цитата iskander-k
Вы выполнили скрипт АВЗ ? И почему не получается с карантином ? »
будет неплохо если будете отвечать на наши вопросы, быстрее все получится..
Цитата:
Цитата CeHbKA
Спасибо всем большое, за помощь и терпение, а также за уважительную культуру общения (давно такого не встречал) »
:ok:

CeHbKA 21-09-2010 11:45 1500592
Скрипт АВЗ я не выполнял до последнего времени, т.к. пришел с работы поздно. Проблема исчезла и единственный вопрос, который меня мучает - действительно ли это заражение, или просто обыкновенный конфликт (коих у винды немало). Вечером выполню ваши требования насчет ComboFix. Сейчас просто на работе :)

iskander-k 21-09-2010 13:39 1500681
Удаляемый в скрипте АВЗ файл был вирусом.

Цитата:
Цитата iskander-k
C:\AKON\BYONC\AKON.exe »
троян Worm.Win32.AutoIt.nz.

CeHbKA 21-09-2010 15:16 1500773
Предполагаете, что именно он вызывал сбой в работе Hamachi ?

Arbitr 21-09-2010 16:11 1500805
Цитата:
Цитата CeHbKA
Вечером выполню ваши требования насчет ComboFix. Сейчас просто на работе »
не надо, достаточно того что выполните скрипт даный вам iskander-k, и в будущем следуйте инструкциям, сейчас такое непонимание ситуации было из за вашего отношения к созданной вами теме. Сами пришли за советом а рекомендации не выполняете, лишь спрашиваете а что было.. это неправильно!! воздержитесь от таких действий будущем.


Время: 09:22.

Время: 09:22.
© OSzone.net 2001-