Решена Невозможно создать svhost.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем machito, 10 май 2013.

Статус темы:
Закрыта.
  1. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    Всем доброго дня!
    Как видно из скрина вылетает такое вот окно, после перезагрузки ноута, удалял винрар и все его следы и переустанавливал но нет толку, окно вылазит каждый рас.
    Дайте совет.

    [​IMG]
     
    Последнее редактирование: 10 май 2013
  2. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    Последнее редактирование: 10 май 2013
    1 человеку нравится это.
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Легальный файл должен так называться
    А svhost.exe - это вирус наверное?
     
    2 пользователям это понравилось.
  4. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
  5. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    machito, Пожалуйста, следуйте инструкциям:

    Правила оформления запроса о помощи

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
     
    1 человеку нравится это.
  6. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    Для начала.
     

    Вложения:

    • avz_log.txt
      Размер файла:
      6,8 КБ
      Просмотров:
      4
  7. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    Извините, делал не совсем по правилам, торопился.
     

    Вложения:

    • LOG.rar
      Размер файла:
      142,8 КБ
      Просмотров:
      3
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Windows\System32\shell32.dll','');
     QuarantineFile('c:\users\machito\appdata\local\temp\svhost.exe','');
     DeleteFile('c:\users\machito\appdata\local\temp\svhost.exe');
     BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы
     
    2 пользователям это понравилось.
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    А точнее лог RSIT забыл.
     
    2 пользователям это понравилось.
  10. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    Ребята, всем спасибо, нортон сам обнаружил и удалил.
    RSIT отправляю.

    [​IMG]
     
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Куда?
     
  12. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    это только для карантина. Логи прикрепляйте к сообщению.
    удаление винрара не поможет, т.к. это самораспаковывающийся архив из которого лезет малварь.

    + к предыдущим рекомендациям

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\users\machito\appdata\local\temp\svhost.exe');
     QuarantineFile('c:\users\machito\appdata\local\temp\svhost.exe','');
     QuarantineFile('C:\Users\machito\AppData\Roaming\Config\dropRe.exe','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFileF('C:\Users\machito\AppData\Roaming\Config\','*', true,'',0 ,0);
     DeleteFile('c:\users\machito\appdata\local\temp\svhost.exe');
     DeleteFile('C:\Users\machito\AppData\Roaming\Config\dropRe.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Starter');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Отключите AVZPM

    Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

    Добавлено через 5 минут 32 секунды
    + в карантин вы прислали скрипт, который надо было выполнить для сбора карантина ;)
     
    Последнее редактирование: 10 май 2013
    1 человеку нравится это.
  14. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    regist, дело в том что все файлы и логи связанные с этой темой я удалил, на том основании что проблему решил антивирь, путём сканирования.
    Суть в том что после первого сканирования ничего не обнаружилось, только после повторного сканера нортон обнаружил эту беду.
    Проблема исправлена, тему можно закрывать, или что ?
     
  15. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    machito, делайте повторные логи, чтобы убедиться, что всё чисто.

    + Norton у вас удалил только один файл, так что скрипты я бы рекомендовал всё-таки выполнить. Как минимум почистят записи в реестре, если антивирус не почистил.

    Код (Text):
    C:\Users\machito\AppData\Roaming\Config
    эту папку тоже удалили? было интересно её содержимое.
     
    1 человеку нравится это.
  16. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    regist, хорошо сейчас запущу процесс, посмотрим что там осталось.
    Содержимое папки C:\Users\machito\AppData\Roaming\Config к сожалению исчезло.

    Добавлено через 32 минуты 24 секунды
    regist, отправил папку quarantine.zip
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    а в карантин попало ;)

    жду свежие логи.

    Добавлено через 4 минуты 9 секунд
    + G:\autorun.inf - этот файл вам знаком ?

    + раз скрипт akoK-а не выполняли, пожалуйста проверьте на virustotal

    Код (Text):
    C:\Windows\System32\shell32.dll
    ссылку на результат проверки сюда.
     
  18. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    Последнее редактирование модератором: 10 май 2013
  19. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    всё ещё ждём.

    + заодно

    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

    ----------------------------------------------------------------

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
    2 пользователям это понравилось.
  20. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    regist, извините, поставил другую систему, тему можно закрывать.
     
Статус темы:
Закрыта.

Поделиться этой страницей