Проблема с заражением вирусом, который внедрился в svchost

Так. Сдрасте. У меня есть проблемка. ко мне на комп влез вирь хз каким образом и нод терь прилизительно раз в 10-20 минут пишит Event occurred on a new file created by the application: C:\WINDOWS\windll\svchost.exe. The file was moved to quarantine. You may close this window. Вот скрин

 

Заходи в безопастный режим. Набирай msconfig, там убирай с автозагрузки вирусняк. Потом заходи в папку windows и сноси папку windl. Хз может поможет. Т.к если антивирус без силен.

 

я могу ошибаться, но помоему это ошибка, такое бывает... просто exe файл, которого NOD подозревает в причастности к малвере, попробуй установить другие антивирусы и проверить
P.S. Помню когда устанавливал Козаков касперыч тоже ругался, мол вирус...
+а вообще чем чёрт не шутит, так что осторожней

 

сходи к другу, подруге, учителю по информатике с хардом подключи и почисти... или удали ваще нах винду и деинсталльни...

 

точно, линукс в массы! или как там

 

Так лано щас зайду в безопасном режиме и потыркаю там всё. Тока там написанно что он типа маскируеться под системную задачу. Как я её выключу? Файл то понятно я удалю, а с процессом чёт недогоняю
-------------------------------------------
Wallpeper гдето качнул, а где непомню =\
-------------------------------------------
Был бы линекс установил, но таковой отсутствует

 

reboot ..... и молись..

 

Ага ребот из разетки. А востановленние системы не поможет =\? Дня так на 2 откатиться назад
------------------------------
Кста, вот чё это

Проверенный файл: svchost.exe - Инфицирован
svchost.exe - инфицирован Trojan-PSW.Win32.Delf.jm

 

трой - это хорошо, наверное, ведь не вирь

зы: скинь валпаппер на имиджхак плиз )) будь другом :Р

 

HajackThis? HirensBoot?

 

нет, у меня сейчас друг умирает))

Кстате. Забросил на вирустотал еще

Code:

AhnLab-V3	2007.9.5.0	2007.09.05	Win-Trojan/Xema.variant
AntiVir	7.6.0.5	2007.09.05	TR/PSW.Delf.JM
Authentium	4.93.8	2007.09.05	W32/Trojan.CZX
Avast	4.7.1029.0	2007.09.05	Win32:Delf-AKW
AVG	7.5.0.485	2007.09.05	PSW.Generic.PWG
BitDefender	7.2	2007.09.05	Trojan.PSW.Delf.JM
CAT-QuickHeal	9.00	2007.09.05	TrojanPSW.Delf.jm
ClamAV	0.91.2	2007.09.05	Trojan.Delf-915
DrWeb	4.33	2007.09.05	Trojan.PWS.Rasp
eSafe	7.0.15.0	2007.09.04	suspicious Trojan/Worm
eTrust-Vet	31.1.5111	2007.09.05	Win32/Malum.AFWG
Ewido	4.0	2007.09.05	Trojan.Delf.jm
FileAdvisor	1	2007.09.05	-
Fortinet	3.11.0.0	2007.09.05	-

 

Можно еще раз, токо попроще и по русски

 

HirensBoot - http://www.hiren.info/pages/bootcd

 

да я тож ниче не поняла...

эт че типа все у тебя..... ????

AhnLab-V3 2007.9.5.0 2007.09.05 Win-Trojan/Xema.variant
AntiVir 7.6.0.5 2007.09.05 TR/PSW.Delf.JM
Authentium 4.93.8 2007.09.05 W32/Trojan.CZX
Avast 4.7.1029.0 2007.09.05 Win32elf-AKW
AVG 7.5.0.485 2007.09.05 PSW.Generic.PWG
BitDefender 7.2 2007.09.05 Trojan.PSW.Delf.JM
CAT-QuickHeal 9.00 2007.09.05 TrojanPSW.Delf.jm
ClamAV 0.91.2 2007.09.05 Trojan.Delf-915
DrWeb 4.33 2007.09.05 Trojan.PWS.Rasp
eSafe 7.0.15.0 2007.09.04 suspicious Trojan/Worm
eTrust-Vet 31.1.5111 2007.09.05 Win32/Malum.AFWG
Ewido 4.0 2007.09.05 Trojan.Delf.jm
FileAdvisor 1 2007.09.05 -
Fortinet 3.11.0.0 2007.09.05 -

 

Попробуй удалить файл, не помогает попробуй переименовать файл а потом удалить, не помогает попробуй зайти в без, режим, с мин загрузкой дров и удалить его, не помогает удали через дос, либо ливСД дистрибутив, если Ntfs и закрыты данные паролем, снеси пароль и расшарь папки и удали файл с другой ОС'и, после удаления почисти автозагруз, и реестр.

p/s так же можеш поставить снифер и пробить ip/mail/host etc куда стучит трой, при условии что данные передаются не в шифрованом виде, можно оопределить вид/тип вируса/троя и найти документацию по его искоренению.

p/s2 по выше данным даным AhnLab-V3 2007.9.5.0 2007.09.05 Win-Trojan/Xema.variant
AntiVir 7.6.0.5 2007.09.05 TR/PSW.Delf.JM
Authentium 4.93.8 2007.09.05 W32/Trojan.CZX
Avast 4.7.1029.0 2007.09.05 Win32elf-AKW
AVG 7.5.0.485 2007.09.05 PSW.Generic.PWG
BitDefender 7.2 2007.09.05 Trojan.PSW.Delf.JM
CAT-QuickHeal 9.00 2007.09.05 TrojanPSW.Delf.jm
ClamAV 0.91.2 2007.09.05 Trojan.Delf-915
DrWeb 4.33 2007.09.05 Trojan.PWS.Rasp
eSafe 7.0.15.0 2007.09.04 suspicious Trojan/Worm
eTrust-Vet 31.1.5111 2007.09.05 Win32/Malum.AFWG
Ewido 4.0 2007.09.05 Trojan.Delf.jm
Поищи в описании баз авирей что делает данный тип, где прописывается и тп, к примеру у аваста в базе вирусов почитай о вире Win32elf-AKW, и так далее.

Муторно долго и тп, знаю но это тебе понадобится в будующем.

 

это инжект в твой svchost.exe. лечится ребутом. если троя в авторане нет, разумеется.=)
ЫЫЫ улыбнуло Trojan-PSW.Win32.Delf.jm. одепты делфи все-таки написали свой любимый троян (это личное)

ЗЫ и не забудь поменять ВСЕ пароли

 

Однозначне через дос удали файл! Есть специальные дискеты позволяющие загружать дос и просматривать NTFS разделы! Дискета весит мало - посмотри в нете!

Троян кстати по спецификации PWS - типо "password" - смени быстрее везде пароли, а то без своего останешься!

 

Тема в том что, он клеиться ну или маскируеться под svchost а у меня этих процессов 6. 2 я закрыл(па ходу дела это они были). Осталось 4 норм

 

на последних двух.... у тебя комп вырубица.... типа окошко выползет заморозет все намертво.. и отсчет до ребута .... как при dcom заражениях было 2-3 года назад ...

 

Так лано. Щас перезагружусь