• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Невозможно создать svhost.exe

Статус
В этой теме нельзя размещать новые ответы.

machito

Команда форума
Супер-Модератор
Сообщения
2,401
Реакции
2,220
Баллы
583
Всем доброго дня!
Как видно из скрина вылетает такое вот окно, после перезагрузки ноута, удалял винрар и все его следы и переустанавливал но нет толку, окно вылазит каждый рас.
Дайте совет.

 
Последнее редактирование:

icotonev

Ассоциация VN
Сообщения
1,426
Реакции
1,156
Баллы
553
machito, Пожалуйста, следуйте инструкциям:

Правила оформления запроса о помощи

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
 

machito

Команда форума
Супер-Модератор
Сообщения
2,401
Реакции
2,220
Баллы
583
Для начала.
 

Вложения

  • avz_log.txt
    6.8 KB · Просмотры: 4

machito

Команда форума
Супер-Модератор
Сообщения
2,401
Реакции
2,220
Баллы
583
Извините, делал не совсем по правилам, торопился.
 

Вложения

  • LOG.rar
    142.8 KB · Просмотры: 3

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Windows\System32\shell32.dll','');
 QuarantineFile('c:\users\machito\appdata\local\temp\svhost.exe','');
 DeleteFile('c:\users\machito\appdata\local\temp\svhost.exe');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы
 

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
А точнее лог RSIT забыл.
 

machito

Команда форума
Супер-Модератор
Сообщения
2,401
Реакции
2,220
Баллы
583
Ребята, всем спасибо, нортон сам обнаружил и удалил.
RSIT отправляю.

 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
akoK, по вашей ссылке Форма отправки
это только для карантина. Логи прикрепляйте к сообщению.
удалял винрар и все его следы и переустанавливал но нет толку, окно вылазит каждый рас.
удаление винрара не поможет, т.к. это самораспаковывающийся архив из которого лезет малварь.

+ к предыдущим рекомендациям

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\machito\appdata\local\temp\svhost.exe');
 QuarantineFile('c:\users\machito\appdata\local\temp\svhost.exe','');
 QuarantineFile('C:\Users\machito\AppData\Roaming\Config\dropRe.exe','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFileF('C:\Users\machito\AppData\Roaming\Config\','*', true,'',0 ,0);
 DeleteFile('c:\users\machito\appdata\local\temp\svhost.exe');
 DeleteFile('C:\Users\machito\AppData\Roaming\Config\dropRe.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Starter');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Отключите AVZPM

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Добавлено через 5 минут 32 секунды
+ в карантин вы прислали скрипт, который надо было выполнить для сбора карантина ;)
 
Последнее редактирование:

machito

Команда форума
Супер-Модератор
Сообщения
2,401
Реакции
2,220
Баллы
583
regist, дело в том что все файлы и логи связанные с этой темой я удалил, на том основании что проблему решил антивирь, путём сканирования.
Суть в том что после первого сканирования ничего не обнаружилось, только после повторного сканера нортон обнаружил эту беду.
Проблема исправлена, тему можно закрывать, или что ?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
machito, делайте повторные логи, чтобы убедиться, что всё чисто.

+ Norton у вас удалил только один файл, так что скрипты я бы рекомендовал всё-таки выполнить. Как минимум почистят записи в реестре, если антивирус не почистил.

Код:
C:\Users\machito\AppData\Roaming\Config
эту папку тоже удалили? было интересно её содержимое.
 

machito

Команда форума
Супер-Модератор
Сообщения
2,401
Реакции
2,220
Баллы
583
regist, хорошо сейчас запущу процесс, посмотрим что там осталось.
Содержимое папки C:\Users\machito\AppData\Roaming\Config к сожалению исчезло.

Добавлено через 32 минуты 24 секунды
regist, отправил папку quarantine.zip
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Содержимое папки C:\Users\machito\AppData\Roaming\Config к сожалению исчезло.
а в карантин попало ;)

жду свежие логи.

Добавлено через 4 минуты 9 секунд
+ G:\autorun.inf - этот файл вам знаком ?

+ раз скрипт akoK-а не выполняли, пожалуйста проверьте на virustotal

Код:
C:\Windows\System32\shell32.dll

ссылку на результат проверки сюда.
 

machito

Команда форума
Супер-Модератор
Сообщения
2,401
Реакции
2,220
Баллы
583
Последнее редактирование модератором:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
жду свежие логи.
всё ещё ждём.

+ заодно

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

----------------------------------------------------------------

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

machito

Команда форума
Супер-Модератор
Сообщения
2,401
Реакции
2,220
Баллы
583
regist, извините, поставил другую систему, тему можно закрывать.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу