Процесс svchost.exe запущен от имени пользователя

Pili · Отправлено: **09:58, 09-10-2008** | #2

В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\svchost.exe:debug.exe:$DATA','');
 QuarantineFile('C:\temp\HWiNFO32.SYS','');
 QuarantineFile('C:\Program Files\Total Sorofix 888\Programm\VolumeControl\volume.exe','');
 QuarantineFile('C:\Program Files\CLCL\CLCL.exe','');
 QuarantineFile('C:\Program Files\RimArts\B2\B2.exe','');
 DeleteFile('c:\windows\system32\svchost.exe:debug.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Цитата:

R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

Можете деинсталлировать System Spyware Interrogator (SysEnforce) и AdAwarePortable
Удалите Bonjour Service см. здесь или здесь
Повторите логи. Если лог от Kaspersky Online Scanner сохранился, можете его запаковать и приложить.

tarakan1983 · Отправлено: **21:48, 09-10-2008** | #3

Спасибо большое! На почту файлик отправил. А не могли бы вы подробнее объяснить что это за хрень, откуда она берется и что мы с вами сделали этими скриптами. И такой вопрос теперь не доверяю ни касперу ни доктору вебу ни ноду, хочу поставить zone allarm, не посоветуете какую версию лучше? Логи вылаживаю в AVZ были еще красные надписи это ничего?

Pili · Отправлено: **09:02, 10-10-2008** | #4

Цитата tarakan1983:

что мы с вами сделали этими скриптами. »

Взяли на проверку некоторые файлы и удалили файл в потоке NTFS (см. Альтернативные потоки данных NTFS), зловред опознается антивирусом Avira как TR/Dldr.Delphi.Gen, скоро и Касперский будет его опознавать. ZA больше брандмауэр, чем антивирус, хотя модуль антивируса есть, имхо лучше ставить проверенные антивирусы (KAV/KIS, Avira, Drweb). Последние версии ZA есть на сайте производителя

Цитата tarakan1983:

Логи вылаживаю в AVZ были еще красные надписи это ничего? »

Если вы о перехватчиках типа

Цитата:

Функция NtClose (19) перехвачена (805BAEB4->B6D1BC00), перехватчик C:\WINDOWS\system32\drivers\klif.sys

Это нормально
Файла HWiNFO32.SYS физически нет, поэтому можно почистить реестр, выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('HWiNFO32');
 DeleteFile('C:\temp\HWiNFO32.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

Некоторые файлы из карантина ушли на анализ вирлаб, подождем ответа.

tarakan1983 · Отправлено: **09:06, 10-10-2008** | #5

Примного благодарен за полный ответ

Pili · Отправлено: **16:25, 11-10-2008** | #6

tarakan1983, пришел ответ из вирлаба по файлам CLCL.exe и svchost.exe:debug.exe:$DATA

Цитата:

No malicious software was found in the attached file.

tarakan1983 · Отправлено: **17:05, 11-10-2008** | #7

По поводу CLCL.exe, это дополнительная примочка к буферу обмена, я все логи смотрел сам, все что там могу объяснить кроме svchost.exe:debug.exe:$DATA. Извените за тупость, что означает

No malicious software was found in the attached file.

Нет вирусов?

Pili · Отправлено: **07:57, 13-10-2008** | #8

tarakan1983, это значит, что аналитики вирлаба не нашли в файлах ничего вредоносного, рез-ты virustotal здесь