|
Проблема с заражением вирусом, который внедрился в svchost
Так. Сдрасте. У меня есть проблемка. ко мне на комп влез вирь хз каким образом и нод терь прилизительно раз в 10-20 минут пишит Event occurred on a new file created by the application: C:\WINDOWS\windll\svchost.exe. The file was moved to quarantine. You may close this window. Вот скрин
http://img516.imageshack.us/img516/7...9789ru7.th.jpg |
Заходи в безопастный режим. Набирай msconfig, там убирай с автозагрузки вирусняк. Потом заходи в папку windows и сноси папку windl. Хз может поможет. Т.к если антивирус без силен.
|
я могу ошибаться, но помоему это ошибка, такое бывает... просто exe файл, которого NOD подозревает в причастности к малвере, попробуй установить другие антивирусы и проверить
P.S. Помню когда устанавливал Козаков касперыч тоже ругался, мол вирус... +а вообще чем чёрт не шутит, так что осторожней |
сходи к другу, подруге, учителю по информатике с хардом подключи и почисти... или удали ваще нах винду и деинсталльни...
|
Цитата:
|
Так лано щас зайду в безопасном режиме и потыркаю там всё. Тока там написанно что он типа маскируеться под системную задачу. Как я её выключу? Файл то понятно я удалю, а с процессом чёт недогоняю
------------------------------------------- Wallpeper гдето качнул, а где непомню =\ ------------------------------------------- Был бы линекс установил, но таковой отсутствует |
reboot ..... и молись..
|
Ага ребот из разетки. А востановленние системы не поможет =\? Дня так на 2 откатиться назад
------------------------------ Кста, вот чё это Проверенный файл: svchost.exe - Инфицирован svchost.exe - инфицирован Trojan-PSW.Win32.Delf.jm |
трой - это хорошо, наверное, ведь не вирь
зы: скинь валпаппер на имиджхак плиз )) будь другом :Р |
HajackThis? HirensBoot?
|
нет, у меня сейчас друг умирает))
http://img213.imageshack.us/img213/5...apanrj7.th.jpg Кстате. Забросил на вирустотал еще Код:
AhnLab-V3 2007.9.5.0 2007.09.05 Win-Trojan/Xema.variant |
Цитата:
|
Цитата:
|
да я тож ниче не поняла...
эт че типа все у тебя..... ???? AhnLab-V3 2007.9.5.0 2007.09.05 Win-Trojan/Xema.variant AntiVir 7.6.0.5 2007.09.05 TR/PSW.Delf.JM Authentium 4.93.8 2007.09.05 W32/Trojan.CZX Avast 4.7.1029.0 2007.09.05 Win32:Delf-AKW AVG 7.5.0.485 2007.09.05 PSW.Generic.PWG BitDefender 7.2 2007.09.05 Trojan.PSW.Delf.JM CAT-QuickHeal 9.00 2007.09.05 TrojanPSW.Delf.jm ClamAV 0.91.2 2007.09.05 Trojan.Delf-915 DrWeb 4.33 2007.09.05 Trojan.PWS.Rasp eSafe 7.0.15.0 2007.09.04 suspicious Trojan/Worm eTrust-Vet 31.1.5111 2007.09.05 Win32/Malum.AFWG Ewido 4.0 2007.09.05 Trojan.Delf.jm FileAdvisor 1 2007.09.05 - Fortinet 3.11.0.0 2007.09.05 - |
Попробуй удалить файл, не помогает попробуй переименовать файл а потом удалить, не помогает попробуй зайти в без, режим, с мин загрузкой дров и удалить его, не помогает удали через дос, либо ливСД дистрибутив, если Ntfs и закрыты данные паролем, снеси пароль и расшарь папки и удали файл с другой ОС'и, после удаления почисти автозагруз, и реестр.
p/s так же можеш поставить снифер и пробить ip/mail/host etc куда стучит трой, при условии что данные передаются не в шифрованом виде, можно оопределить вид/тип вируса/троя и найти документацию по его искоренению. p/s2 по выше данным даным AhnLab-V3 2007.9.5.0 2007.09.05 Win-Trojan/Xema.variant AntiVir 7.6.0.5 2007.09.05 TR/PSW.Delf.JM Authentium 4.93.8 2007.09.05 W32/Trojan.CZX Avast 4.7.1029.0 2007.09.05 Win32elf-AKW AVG 7.5.0.485 2007.09.05 PSW.Generic.PWG BitDefender 7.2 2007.09.05 Trojan.PSW.Delf.JM CAT-QuickHeal 9.00 2007.09.05 TrojanPSW.Delf.jm ClamAV 0.91.2 2007.09.05 Trojan.Delf-915 DrWeb 4.33 2007.09.05 Trojan.PWS.Rasp eSafe 7.0.15.0 2007.09.04 suspicious Trojan/Worm eTrust-Vet 31.1.5111 2007.09.05 Win32/Malum.AFWG Ewido 4.0 2007.09.05 Trojan.Delf.jm Поищи в описании баз авирей что делает данный тип, где прописывается и тп, к примеру у аваста в базе вирусов почитай о вире Win32elf-AKW, и так далее. Муторно долго и тп, знаю но это тебе понадобится в будующем. |
Цитата:
ЫЫЫ улыбнуло Trojan-PSW.Win32.Delf.jm. одепты делфи все-таки написали свой любимый троян (это личное) ЗЫ и не забудь поменять ВСЕ пароли |
Однозначне через дос удали файл! Есть специальные дискеты позволяющие загружать дос и просматривать NTFS разделы! Дискета весит мало - посмотри в нете!
Троян кстати по спецификации PWS - типо "password" - смени быстрее везде пароли, а то без своего останешься! |
Тема в том что, он клеиться ну или маскируеться под svchost а у меня этих процессов 6. 2 я закрыл(па ходу дела это они были). Осталось 4 норм
|
на последних двух.... у тебя комп вырубица.... типа окошко выползет заморозет все намертво.. и отсчет до ребута .... как при dcom заражениях было 2-3 года назад ...
|
Так лано. Щас перезагружусь
|
Цитата:
|
Я не понимаю по поводу авторана. Написал я msconfig вошел. Зашел в автозагрузку, но его там нету =\
Службах ковыряца надо? Еще этот трой есть у нода в карантине и я могу его удалить, но у меня подозрение что он мог куда прописаться. ТАк что я чёто плохо представляю чё делать. Кстате. За время моего в ключения комп не разу никазал про трой. Мб ребоот помог? И Хотя в процессах 5 тех процессов |
в реестре
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run вот эти для начала проверь |
Нету. Там вообще этого процесса нет.
|
http://www.fozi.ru/more/988611/
http://www.fozi.ru/more/1034975/ это не то, но вдруг окажется похоже |
Ничего не нашлось из того что там написанно. Кажись болше ничего нету
Там получается что он больше не пашет. Ну в самой папке трой есть. Так что хз. Доступа у меня в ту папку нету. Если пытаюсь зайти трой активируеться, а так вроде норм |
Это важный процесс, без которого комп пахать не будет.
|
|
Цитата:
|
Цитата:
Цитата:
|
Так ладно. Всём спасибо за помощь. Вроде норм терь всё. Снесу скоро винду. Поставлю линекс. И всё норм будет
|
Цитата:
|
| Время: 04:06 |