Решена Невозможно создать svhost.exe

[machito]

Всем доброго дня!
Как видно из скрина вылетает такое вот окно, после перезагрузки ноута, удалял винрар и все его следы и переустанавливал но нет толку, окно вылазит каждый рас.
Дайте совет.

 

[Кирилл]

machito


Эти логи сделай.

 

[shestale]

Легальный файл должен так называться

svchost.exe

А svhost.exe - это вирус наверное?

 

[Ботан]

Moderatorium

Эта тема была перенесена из раздела Microsoft Windows 7.

Перенес: Koza Nozdri

 

[icotonev]

machito, Пожалуйста, следуйте инструкциям:

Правила оформления запроса о помощи

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

 

[machito]

Для начала.

 

[machito]

Извините, делал не совсем по правилам, торопился.

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Windows\System32\shell32.dll','');
 QuarantineFile('c:\users\machito\appdata\local\temp\svhost.exe','');
 DeleteFile('c:\users\machito\appdata\local\temp\svhost.exe');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

 

[akok]

А точнее лог RSIT забыл.

 

[machito]

Ребята, всем спасибо, нортон сам обнаружил и удалил.
RSIT отправляю.

 

[akok]

RSIT отправляю.

Куда?

 

[machito]

akoK, по вашей ссылке Форма отправки

 

[regist]

akoK, по вашей ссылке Форма отправки

это только для карантина. Логи прикрепляйте к сообщению.

удалял винрар и все его следы и переустанавливал но нет толку, окно вылазит каждый рас.

удаление винрара не поможет, т.к. это самораспаковывающийся архив из которого лезет малварь.

+ к предыдущим рекомендациям

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\machito\appdata\local\temp\svhost.exe');
 QuarantineFile('c:\users\machito\appdata\local\temp\svhost.exe','');
 QuarantineFile('C:\Users\machito\AppData\Roaming\Config\dropRe.exe','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFileF('C:\Users\machito\AppData\Roaming\Config\','*', true,'',0 ,0);
 DeleteFile('c:\users\machito\appdata\local\temp\svhost.exe');
 DeleteFile('C:\Users\machito\AppData\Roaming\Config\dropRe.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Starter');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Отключите AVZPM

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Добавлено через 5 минут 32 секунды
+ в карантин вы прислали скрипт, который надо было выполнить для сбора карантина

 

[machito]

regist, дело в том что все файлы и логи связанные с этой темой я удалил, на том основании что проблему решил антивирь, путём сканирования.
Суть в том что после первого сканирования ничего не обнаружилось, только после повторного сканера нортон обнаружил эту беду.
Проблема исправлена, тему можно закрывать, или что ?

 

[regist]

machito, делайте повторные логи, чтобы убедиться, что всё чисто.

+ Norton у вас удалил только один файл, так что скрипты я бы рекомендовал всё-таки выполнить. Как минимум почистят записи в реестре, если антивирус не почистил.

C:\Users\machito\AppData\Roaming\Config

эту папку тоже удалили? было интересно её содержимое.

 

[machito]

regist, хорошо сейчас запущу процесс, посмотрим что там осталось.
Содержимое папки C:\Users\machito\AppData\Roaming\Config к сожалению исчезло.

Добавлено через 32 минуты 24 секунды
regist, отправил папку quarantine.zip

 

[regist]

Содержимое папки C:\Users\machito\AppData\Roaming\Config к сожалению исчезло.

а в карантин попало

жду свежие логи.

Добавлено через 4 минуты 9 секунд
+ G:\autorun.inf - этот файл вам знаком ?

+ раз скрипт akoK-а не выполняли, пожалуйста проверьте на virustotal

C:\Windows\System32\shell32.dll

ссылку на результат проверки сюда.

 

[machito]

Ссылка на virustotal shell32.dll

 

[regist]

жду свежие логи.

всё ещё ждём.

+ заодно

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

----------------------------------------------------------------

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

 

[machito]

regist, извините, поставил другую систему, тему можно закрывать.