1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Невозможно создать svhost.exe

Тема в разделе "Удаление компьютерных вирусов", создана пользователем machito, 10 май 2013.

Статус темы:
Закрыта.
  1. machito

    machito Команда форума Супер-Модератор

    Сообщения:
    2.020
    Симпатии:
    2.010
    Всем доброго дня!
    Как видно из скрина вылетает такое вот окно, после перезагрузки ноута, удалял винрар и все его следы и переустанавливал но нет толку, окно вылазит каждый рас.
    Дайте совет.

    [​IMG]
     
    Последнее редактирование: 10 май 2013
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.138
    Симпатии:
    5.540
    Последнее редактирование: 10 май 2013
    1 человеку нравится это.
  4. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.064
    Симпатии:
    4.824
    Легальный файл должен так называться
    А svhost.exe - это вирус наверное?
     
    2 пользователям это понравилось.
  5. Ботан

    Ботан Злостный спам-бот

    Сообщения:
    994
    Симпатии:
    194
  6. icotonev

    icotonev Ассоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654
    machito, Пожалуйста, следуйте инструкциям:

    Правила оформления запроса о помощи

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
     
    1 человеку нравится это.
  7. machito

    machito Команда форума Супер-Модератор

    Сообщения:
    2.020
    Симпатии:
    2.010
    Для начала.
     

    Вложения:

    • avz_log.txt
      Размер файла:
      6,8 КБ
      Просмотров:
      4
  8. machito

    machito Команда форума Супер-Модератор

    Сообщения:
    2.020
    Симпатии:
    2.010
    Извините, делал не совсем по правилам, торопился.
     

    Вложения:

    • LOG.rar
      Размер файла:
      142,8 КБ
      Просмотров:
      3
  9. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.642
    Симпатии:
    14.731
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Windows\System32\shell32.dll','');
     QuarantineFile('c:\users\machito\appdata\local\temp\svhost.exe','');
     DeleteFile('c:\users\machito\appdata\local\temp\svhost.exe');
     BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы
     
    2 пользователям это понравилось.
  10. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.642
    Симпатии:
    14.731
    А точнее лог RSIT забыл.
     
    2 пользователям это понравилось.
  11. machito

    machito Команда форума Супер-Модератор

    Сообщения:
    2.020
    Симпатии:
    2.010
    Ребята, всем спасибо, нортон сам обнаружил и удалил.
    RSIT отправляю.

    [​IMG]
     
  12. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.642
    Симпатии:
    14.731
    Куда?
     
  13. machito

    machito Команда форума Супер-Модератор

    Сообщения:
    2.020
    Симпатии:
    2.010
  14. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.998
    Симпатии:
    5.587
    это только для карантина. Логи прикрепляйте к сообщению.
    удаление винрара не поможет, т.к. это самораспаковывающийся архив из которого лезет малварь.

    + к предыдущим рекомендациям

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\users\machito\appdata\local\temp\svhost.exe');
     QuarantineFile('c:\users\machito\appdata\local\temp\svhost.exe','');
     QuarantineFile('C:\Users\machito\AppData\Roaming\Config\dropRe.exe','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFileF('C:\Users\machito\AppData\Roaming\Config\','*', true,'',0 ,0);
     DeleteFile('c:\users\machito\appdata\local\temp\svhost.exe');
     DeleteFile('C:\Users\machito\AppData\Roaming\Config\dropRe.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Starter');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Отключите AVZPM

    Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

    Добавлено через 5 минут 32 секунды
    + в карантин вы прислали скрипт, который надо было выполнить для сбора карантина ;)
     
    Последнее редактирование: 10 май 2013
    1 человеку нравится это.
  15. machito

    machito Команда форума Супер-Модератор

    Сообщения:
    2.020
    Симпатии:
    2.010
    regist, дело в том что все файлы и логи связанные с этой темой я удалил, на том основании что проблему решил антивирь, путём сканирования.
    Суть в том что после первого сканирования ничего не обнаружилось, только после повторного сканера нортон обнаружил эту беду.
    Проблема исправлена, тему можно закрывать, или что ?
     
  16. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.998
    Симпатии:
    5.587
    machito, делайте повторные логи, чтобы убедиться, что всё чисто.

    + Norton у вас удалил только один файл, так что скрипты я бы рекомендовал всё-таки выполнить. Как минимум почистят записи в реестре, если антивирус не почистил.

    Код (Text):
    C:\Users\machito\AppData\Roaming\Config
    эту папку тоже удалили? было интересно её содержимое.
     
    1 человеку нравится это.
  17. machito

    machito Команда форума Супер-Модератор

    Сообщения:
    2.020
    Симпатии:
    2.010
    regist, хорошо сейчас запущу процесс, посмотрим что там осталось.
    Содержимое папки C:\Users\machito\AppData\Roaming\Config к сожалению исчезло.

    Добавлено через 32 минуты 24 секунды
    regist, отправил папку quarantine.zip
     
  18. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.998
    Симпатии:
    5.587
    а в карантин попало ;)

    жду свежие логи.

    Добавлено через 4 минуты 9 секунд
    + G:\autorun.inf - этот файл вам знаком ?

    + раз скрипт akoK-а не выполняли, пожалуйста проверьте на virustotal

    Код (Text):
    C:\Windows\System32\shell32.dll
    ссылку на результат проверки сюда.
     
  19. machito

    machito Команда форума Супер-Модератор

    Сообщения:
    2.020
    Симпатии:
    2.010
    Последнее редактирование модератором: 10 май 2013
  20. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.998
    Симпатии:
    5.587
    всё ещё ждём.

    + заодно

    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

    ----------------------------------------------------------------

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
    2 пользователям это понравилось.
  21. machito

    machito Команда форума Супер-Модератор

    Сообщения:
    2.020
    Симпатии:
    2.010
    regist, извините, поставил другую систему, тему можно закрывать.
     
Загрузка...
Статус темы:
Закрыта.