Решена Невозможно создать svhost.exe

machito · 10 Май 2013

Всем доброго дня!
Как видно из скрина вылетает такое вот окно, после перезагрузки ноута, удалял винрар и все его следы и переустанавливал но нет толку, окно вылазит каждый рас.
Дайте совет.

Кирилл · 10 Май 2013

machito

Эти логи сделай.

shestale · 10 Май 2013

Легальный файл должен так называться

svchost.exe

А svhost.exe - это вирус наверное?

Ботан · 10 Май 2013

Moderatorium

Эта тема была перенесена из раздела Microsoft Windows 7.

Перенес: Koza Nozdri

icotonev · 10 Май 2013

machito, Пожалуйста, следуйте инструкциям:

Правила оформления запроса о помощи

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

machito · 10 Май 2013

Для начала.

machito · 10 Май 2013

Извините, делал не совсем по правилам, торопился.

akok · 10 Май 2013

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Windows\System32\shell32.dll','');
 QuarantineFile('c:\users\machito\appdata\local\temp\svhost.exe','');
 DeleteFile('c:\users\machito\appdata\local\temp\svhost.exe');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

akok · 10 Май 2013

А точнее лог RSIT забыл.

machito · 10 Май 2013

Ребята, всем спасибо, нортон сам обнаружил и удалил.
RSIT отправляю.

akok · 10 Май 2013

machito написал(а):
RSIT отправляю.

Куда?

machito · 10 Май 2013

akoK, по вашей ссылке Форма отправки

regist · 10 Май 2013

machito написал(а):
akoK, по вашей ссылке Форма отправки

это только для карантина. Логи прикрепляйте к сообщению.

machito написал(а):
удалял винрар и все его следы и переустанавливал но нет толку, окно вылазит каждый рас.

удаление винрара не поможет, т.к. это самораспаковывающийся архив из которого лезет малварь.

+ к предыдущим рекомендациям

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\machito\appdata\local\temp\svhost.exe');
 QuarantineFile('c:\users\machito\appdata\local\temp\svhost.exe','');
 QuarantineFile('C:\Users\machito\AppData\Roaming\Config\dropRe.exe','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFileF('C:\Users\machito\AppData\Roaming\Config\','*', true,'',0 ,0);
 DeleteFile('c:\users\machito\appdata\local\temp\svhost.exe');
 DeleteFile('C:\Users\machito\AppData\Roaming\Config\dropRe.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Starter');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Отключите AVZPM

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Добавлено через 5 минут 32 секунды
+ в карантин вы прислали скрипт, который надо было выполнить для сбора карантина

machito · 10 Май 2013

regist, дело в том что все файлы и логи связанные с этой темой я удалил, на том основании что проблему решил антивирь, путём сканирования.
Суть в том что после первого сканирования ничего не обнаружилось, только после повторного сканера нортон обнаружил эту беду.
Проблема исправлена, тему можно закрывать, или что ?

regist · 10 Май 2013

machito, делайте повторные логи, чтобы убедиться, что всё чисто.

+ Norton у вас удалил только один файл, так что скрипты я бы рекомендовал всё-таки выполнить. Как минимум почистят записи в реестре, если антивирус не почистил.

Код:

C:\Users\machito\AppData\Roaming\Config

эту папку тоже удалили? было интересно её содержимое.

machito · 10 Май 2013

regist, хорошо сейчас запущу процесс, посмотрим что там осталось.
Содержимое папки C:\Users\machito\AppData\Roaming\Config к сожалению исчезло.

Добавлено через 32 минуты 24 секунды
regist, отправил папку quarantine.zip

regist · 10 Май 2013

machito написал(а):
Содержимое папки C:\Users\machito\AppData\Roaming\Config к сожалению исчезло.

а в карантин попало

жду свежие логи.

Добавлено через 4 минуты 9 секунд
+ G:\autorun.inf - этот файл вам знаком ?

+ раз скрипт akoK-а не выполняли, пожалуйста проверьте на virustotal

Код:

C:\Windows\System32\shell32.dll

ссылку на результат проверки сюда.

machito · 10 Май 2013

Ссылка на virustotal shell32.dll

regist · 11 Май 2013

regist написал(а):
жду свежие логи.

всё ещё ждём.

+ заодно

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

----------------------------------------------------------------

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

machito · 12 Май 2013

regist, извините, поставил другую систему, тему можно закрывать.

Решена Невозможно создать svhost.exe

machito

Кирилл

shestale

Ботан

Злостный спам-бот

icotonev

machito

Вложения

machito

Вложения

akok

akok

machito

akok

machito

regist

гоняюсь за туманом

machito

regist

гоняюсь за туманом

machito

regist

гоняюсь за туманом

machito

regist

гоняюсь за туманом

machito