Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] svchost.exe Два файла host в папке ect (http://forum.oszone.net/showthread.php?t=218046)

cir1us 15-10-2011 18:12 1773973
svchost.exe Два файла host в папке ect
 
Собственно сабж.
Беспокоят процессы svchost.exe.Уж больно много их в диспетчере задач.
Также в папке etc появилось 2 файла host.
И на диске С:\ появляется файл ~WRD0008.tmp весом 0 kb

http://zalil.ru/31873200 - файл log.txt

icotonev 15-10-2011 19:46 1774014
Сделайте следующем:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

cir1us 15-10-2011 21:07 1774052
Логи

icotonev 15-10-2011 22:07 1774093
Отключите временно:
Антивирус/Файерволл

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\XDva387.sys','');
 QuarantineFile('C:\Windows\system32\XDva388.sys','');
  DeleteFile('C:\Windows\system32\XDva387.sys');
  DeleteFile('C:\Windows\system32\XDva388.sys');
 DeleteService('XDva387');
 DeleteService('XDva388');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.
Изменения какие-либо есть?

cir1us 15-10-2011 22:27 1774106
файл ~WRD0008.tmp после перезагрузки не появился,а так без изменений.

Процессы диспетчера задач

icotonev 15-10-2011 22:37 1774112
"vksaver" сами ставили?

cir1us 15-10-2011 22:39 1774114
да.

icotonev 15-10-2011 22:42 1774119
Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

cir1us 15-10-2011 23:23 1774138
логи

icotonev 15-10-2011 23:35 1774145
Ничего подозрительного в логах GMER не найдено...!

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

cir1us 15-10-2011 23:49 1774158
Логи

icotonev 15-10-2011 23:56 1774167
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

cir1us 16-10-2011 00:29 1774187
Логи

thyrex 16-10-2011 00:57 1774195
Ничего необычного

Количество процессов svchost.exe зависит от используемых служб

cir1us 16-10-2011 01:07 1774199
а что насчет 2 host`ов в папке etc?Так и должно быть?

icotonev 16-10-2011 12:41 1774408
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

cir1us 16-10-2011 13:26 1774436
Сделал,без изменений.

icotonev 16-10-2011 14:05 1774463
Файл "ICS" - Internet Connection Sharing.....Файл Hosts.ics используется ICS для хранения информации о динамически настроенных клиентах. Чтобы избежать потери подключений или данных, не вносите изменения в этот файл.

Сказали вам выше: Количество процессов svchost.exe зависит от используемых служб.Все процессы svchost.exe са опознаны как безопасные..!


Время: 20:45.

Время: 20:45.
© OSzone.net 2001-