Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.77/13: Рейтинг темы: голосов - 13, средняя оценка - 4.77
560 / 483 / 168
Регистрация: 14.02.2012
Сообщений: 1,561
1

Svchost32.exe в папке C:\Documents and Settings\All Users\Application Data

16.09.2012, 13:40. Показов 2725. Ответов 7
Метки нет (Все метки)

Обнаружил svchost32.exe в папке C:\Documents and Settings\All Users\Application Data. Файл не удаляется. Аваст и Dr. Web CureIt не посчитал его вирусом. Я обнаружил, что svchost32.exe добавился в автозапуск. Все началось после подключения к ПК фотоаппарата.
0
Вложения
Тип файла: rar rsit.rar (16.5 Кб, 9 просмотров)
Тип файла: zip virusinfo_syscheck.zip (27.3 Кб, 5 просмотров)
Тип файла: zip virusinfo_syscure.zip (28.1 Кб, 6 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
16.09.2012, 13:40
Ответы с готовыми решениями:

Как вернуть профиль в папке Documents and Settings
Я зашел в мой компюютер, далее в локальный диск С, далее в Documents and Settings там был профиль...

Вирус в папке C:\Users\Public
Антивирус Avast free пропустил в систему какой-то странный и хитрый вирус, который периодически...

Перехожу в каталог C/Documents and Settings/All Users/Application Data/
Перехожу в каталог C/Documents and Settings/All Users/Application Data/ открывает C/Documents and...

Не могу получить доступ к папке Documents and Settings
Добрый вечер! Сегодня нужно было зайти в папку Documents and Settings. Но мало того, что она...

7
Заблокирован
16.09.2012, 14:16 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.
Код
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\w_w3A6.tmp','');
 QuarantineFile('c:\documents and settings\all users\application data\svchost32.exe','');
 DeleteFile('c:\documents and settings\all users\application data\svchost32.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\w_w3A6.tmp');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ и RSIT

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
1
560 / 483 / 168
Регистрация: 14.02.2012
Сообщений: 1,561
16.09.2012, 15:24  [ТС] 3
Новые логи avz, rsit и лог mbam.
0
Вложения
Тип файла: txt mbam-log-2012-09-16 (14-18-43).txt (5.7 Кб, 9 просмотров)
Тип файла: zip virusinfo_syscheck.zip (27.2 Кб, 1 просмотров)
Тип файла: zip virusinfo_syscure.zip (26.7 Кб, 3 просмотров)
Тип файла: rar rsit.rar (16.5 Кб, 3 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
16.09.2012, 16:16 4
Если МВАМ уже закрыли, то просканируйте заново и удалите эти строки:
HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Действие не было предпринято.
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\cookbook.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0C B66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl orer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> Действие не было предпринято.
Смените пароли от WebMone, если используете.
Что с проблемой?
1
Заблокирован
16.09.2012, 16:31 5
+
сомнительный файл проверьте на на virustotal.com
Обнаруженные файлы: 7
C:\WINDOWS\system32\ctfmon(2).exe (Trojan.FakeMS) -> Действие не было предпринято.
будет вирусный детект - лучше избавиться

svchost32.exe в вирусных базах не значится, занимается считыванием и обработкой контекста экрана или окон. проявляет сетевую активность, поэтому может быть как шпионом, так и легальным приложением ПО фотоаппарата. Если есть желание - могу вернуть его назад.
2
560 / 483 / 168
Регистрация: 14.02.2012
Сообщений: 1,561
16.09.2012, 17:10  [ТС] 6
C:\WINDOWS\system32\ctfmon(2).exe чист. svchost32.exe мне не нужен. Все спокойно.
0
Заблокирован
16.09.2012, 17:16 7
автозапуск с флешек и других устройств, кроме cd\dvd отключил, т к если это шпион, похоже что он распространяется таким образом.

на всякий случай смените пароли

Рекомендации после удаления вредоносного ПО
1
560 / 483 / 168
Регистрация: 14.02.2012
Сообщений: 1,561
16.09.2012, 17:50  [ТС] 8
Цитата Сообщение от Katharsis Посмотреть сообщение
автозапуск с флешек и других устройств, кроме cd\dvd отключил
Я сейчас и искал как отключить автозапуск. Спасибо
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
16.09.2012, 17:50

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Доступ к папке юзера в Documents and Settings из прошлой установки винды (Был запароленный юзер, винду переустановили - нужен доступ)
Была винда, был в ней запороленный юзер (никаких особых методов шифрования, обычный юзер с паролем,...

Не могу найти папку C:\Documents and Settings\Администратор\Local Settings\Temp\Временные файлы Интернета
не могу найти папку C:\Documents and Settings\Администратор\Local Settings\Temp\Временные файлы...

Получить путь к папке Application Data
пытался юзать функцию SHGetSpecialFolderPath в C++ buildere работало в Visual C++ не пашет,...

Documents and settings
Нет доступа к этой папке,а мне надо разместить там пару файлов для аудиоредактора.Подскажите,как...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.