Вирус в svchost.exe

@Kedd · Регистрация: 13.06.2013

Студворк — интернет-сервис помощи студентам

День добрый,

На компьютере знакомой начало постоянно (с периодичностью в 5-10 сек) появляться окно предупреждения о блокировке вредоносного URL-адреса антивирусом avast. (во вложении скрин avast_info). Сам антивирус, при сканировании, вирусов не находит. После сканирования AVZ и RSIT проблема исчезла до момента подключения компьютера к интернету.
Логи проверки AVZ и RSIT в приложении.

Надеюсь на вашу помощь, спасибо.

S.R · 13.06.2013, 18:11

Здравствуйте,

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):
Внимание! После выполнения скрипта компьютер перезагрузится.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64 then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\5HPBB4tI3MA.exe','');
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\jjofZo2Qp8k', '*', true, '', 0, 0);
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\5HPBB4tI3MA.exe');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\IBank', '*', true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\jjofZo2Qp8k', '*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\IBank');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\jjofZo2Qp8k');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки компьютера выполните следующий скрипт в AVZ:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
________________________________________
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
Если программа уже установлена - обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Если он не открылся, нажмите Ok - Показать результаты
Сохраните лог и прикрепите к сообщению.

@Kedd · 13.06.2013, 20:47 **[ТС]**

Спасибо вам за ответ.
quarantine.zip отправил через веб форму. Остальные логи - в скрепке.

S.R · 14.06.2013, 12:21

Архив почему-то не дошёл, но, подозреваю, что у вас был троян, ворующий пароли. Поэтому все пароли от интернет-сайтов желательно сменить.

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):
Внимание! После выполнения скрипта компьютер перезагрузится.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64 then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\WINDOWS\pss\5HPBB4tI3MA.exeStartup','');
 DeleteFile('C:\WINDOWS\pss\5HPBB4tI3MA.exeStartup');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^5HPBB4tI3MA.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Эти 2 файла на ваше усмотрение (могут быть вредоносными)

Code
1
2
D:\Документы\Kostya\CLIENTS\GetFLV Pro v9.1.2.0 Final Ml_Rus\GetFLV.v9.1.1.8-kg-REPT\GetFLV.v9.1.1.8.loader.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Документы\Robert\GetFLV Pro v9.1.2.0 Final Ml_Rus\GetFLV.v9.1.1.8-kg-REPT\GetFLV.v9.1.1.8.loader.exe (Trojan.Agent) -> Действие не было предпринято.

Подготовьте лог SecurityCheck by glax24 => Как подготовить лог SecurityCheck by glax24

Проблемы ещё остались?

@Kedd · 14.06.2013, 17:24 **[ТС]**

Здравствуйте,

Странно, архивчик quarantene отправил через веб форму, как положенно... если нужно отправлю повторно..
Да, 2 файла для антивирусов кажутся подозрительными но это кряки...
Security лог добавил.
Проблемы пока не наблюдаю., надеюсь так будет и дальше...
Посоветуйте, раз уж такое дело, актуальный антивир ибо avast реально не спасает.. Еще раз спасибо за вашу помощь

S.R · 14.06.2013, 17:48

Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Java(TM) 6 Update 17 v.6.0.170 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u45-windows-i586.exe)^
Bonjour v.2.0.1.2 Внимание! Скачать обновления

Включите Автоматическое обновление Windows и Центр обеспечения безопасности через Панель управления - Администрирование - Службы.
Обновите выделенные программы.

Антивирус - KIS, правда он платный. Из бесплатных либо Avast, либо MSE.

Ознакомьтесь с рекомендациями.

Удачи!

@Kedd · 19.06.2013, 11:29 **[ТС]**

Благодарю за помощь и рекомендации!
Проблема исчезла.

Новые блоги и статьи Все статьи Все блоги /
Автозаполнение реквизита при выборе элемента справочника Maks 27.03.2026 Программный код из решения ниже на примере нетипового документа "ЗаявкаНаРемонтСпецтехники" разработанного в конфигурации КА2. При выборе "Спецтехники" (Тип Справочник. Спецтехника), заполняется. . .	Сумматор с применением элементов трёх состояний. Hrethgir 26.03.2026 Тут. https:/ / fips. ru/ EGD/ ab3c85c8-836d-4866-871b-c2f0c5d77fbc Первый документ красиво выглядит, но без схемы. Это конечно не даёт никаких плюсов автору, но тем не менее. . . всё может быть. . .	Автозаполнение реквизитов при создании документа Maks 26.03.2026 Программный код из решения ниже размещается в модуле объекта документа, в процедуре "ПриСозданииНаСервере". Алгоритм проверки заполнения реализован для исключения перезаписи значения реквизита,. . .	Команды формы и диалоговое окно Maks 26.03.2026 1. Команда формы "ЗаполнитьЗапчасти". Программный код из решения ниже на примере нетипового документа "ЗаявкаНаРемонтСпецтехники" разработанного в конфигурации КА2. В качестве источника данных. . .
Кому нужен AOT? DevAlt 26.03.2026 Решил сделать простой ланчер Написал заготовку: dotnet new console --aot -o UrlHandler var items = args. Split(":"); var tag = items; var id = items; var executable = args;. . .	Отправка уведомления на почту при изменении наименования справочника Maks 24.03.2026 Программная отправка письма электронной почты на примере изменения наименования типового справочника "Склады" в конфигурации БП3. Перед реализацией необходимо выполнить настройку системной учетной. . .	модель ЗдравоСохранения 5. Меньше увольнений- больше дохода! anaschu 24.03.2026 Теперь система здравосохранения уменьшает количество увольнений. 9TO2GP2bpX4 a42b81fb172ffc12ca589c7898261ccb/ https:/ / rutube. ru/ video/ a42b81fb172ffc12ca589c7898261ccb/ Слева синяя линия -. . .	Midnight Chicago Blues kumehtar 24.03.2026 Такой Midnight Chicago Blues, знаешь?. . Когда вечерние улицы становятся ночными, а ты не можешь уснуть. Ты идёшь в любимый старый бар, и бармен наливает тебе виски. Ты смотришь на пролетающие. . .

S.R Консультант 368 / 138 / 3 Регистрация: 09.11.2011 Сообщений: 409
	14.06.2013, 17:48
	Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления -------------Windows------------------------------ Автоматическое обновление отключено Автоматическое обновление (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба остановлена Java(TM) 6 Update 17 v.6.0.170 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-6u45-windows-i586.exe)^ Bonjour v.2.0.1.2 Внимание! Скачать обновления Включите Автоматическое обновление Windows и Центр обеспечения безопасности через Панель управления - Администрирование - Службы. Обновите выделенные программы. Антивирус - KIS, правда он платный. Из бесплатных либо Avast, либо MSE. Ознакомьтесь с рекомендациями. Удачи! 1

@Kedd 0 / 0 / 0 Регистрация: 13.06.2013 Сообщений: 4
	19.06.2013, 11:29 [ТС]
	Благодарю за помощь и рекомендации! Проблема исчезла. 0

Вирус в svchost.exe

Решение