Злополучный C:\WINDOWS\system32\svchost.exe - модифицированный Win32/Tofsee.AX

@АнтонЯР · Регистрация: 28.08.2014

Author24 — интернет-сервис помощи студентам

Доброго времени суток. Столкнулся с проблемой, коей пестрит форум: "C:\WINDOWS\system32\svchost.exe - модифицированный Win32/Tofsee.AX троянская программа - очистка невозможна." Буду признателен за помощь.

@Sandor · 28.08.2014, 16:22

Здравствуйте!

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Documents and Settings\Admin\clszeptu.exe','');
 DeleteFile('C:\Documents and Settings\Admin\clszeptu.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@АнтонЯР · 29.08.2014, 12:56 **[ТС]**

Архив отправил. Дополнительную проверку логов осуществил. В общем, огромное вам спасибо за ваш труд! Весьма благодарен!

@Sandor · 29.08.2014, 13:01

В логах чисто.
Если проблема решена:

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@АнтонЯР · 29.08.2014, 15:29 **[ТС]**

Предоставляю отчёт: Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 29.08.2014 17:19:09
Run directory: C:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 8.1
__________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 13.03.2012 09:15:28
Системный диск: C:\ ФС: NTFS Емкость: [29.7 Гб] Занято: [6.2 Гб] Свободно: [23.5 Гб]
Браузер по умолчанию: C:\Program Files\Opera\Opera.exe
-------------Windows------------------------------
Internet Explorer 8.0.6001.18702
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Восстановление системы отключено
-------------Antivirus_WMI------------------------
ESET NOD32 Antivirus 4.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
ESET NOD32 Antivirus v.4.0.474.0
-------------OtherUtilities-----------------------
CCleaner 3.06.1433
TeamViewer 6 v.6.0.10176
-------------Java---------------------------------
Java 7 Update 67 v.7.0.670
Java Auto Updater v.2.1.67.1
-------------AdobeProduction----------------------
Adobe Flash Player 14 ActiveX v.14.0.0.176
Adobe Flash Player 14 Plugin v.14.0.0.179
-------------Browser------------------------------
Opera 11.10.2092
Opera 12.17 v.12.17.1863
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.17.1863.0
-------------EndLog-------------------------------
В общем, всё в порядке. Ещё раз огромное вам благодарю!

@Sandor · 29.08.2014, 15:42

Удачи!

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	28.08.2014, 16:22	2
	Здравствуйте! Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ 1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\Admin\clszeptu.exe',''); DeleteFile('C:\Documents and Settings\Admin\clszeptu.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Компьютер перезагрузится. 2. После перезагрузки выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 1

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	29.08.2014, 13:01	4
	В логах чисто. Если проблема решена: Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24. Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после удаления вредоносного ПО 0

@АнтонЯР 0 / 0 / 0 Регистрация: 28.08.2014 Сообщений: 3
	29.08.2014, 15:29 [ТС]	5
	Предоставляю отчёт: Security Check by glax24 version 0.2.5.61 rc2 WebSite: www.safezone.cc DateLog: 29.08.2014 17:19:09 Run directory: C:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True FileVersionInet: 8.1 __________________________________________________ Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419) Дата установки ОС: 13.03.2012 09:15:28 Системный диск: C:\ ФС: NTFS Емкость: [29.7 Гб] Занято: [6.2 Гб] Свободно: [23.5 Гб] Браузер по умолчанию: C:\Program Files\Opera\Opera.exe -------------Windows------------------------------ Internet Explorer 8.0.6001.18702 Автоматическое обновление отключено Автоматическое обновление (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба остановлена Восстановление системы отключено -------------Antivirus_WMI------------------------ ESET NOD32 Antivirus 4.0 Антивирус обновлен -------------Firewall_WMI------------------------- -------------AntiVirusFirewallInstall------------- ESET NOD32 Antivirus v.4.0.474.0 -------------OtherUtilities----------------------- CCleaner 3.06.1433 TeamViewer 6 v.6.0.10176 -------------Java--------------------------------- Java 7 Update 67 v.7.0.670 Java Auto Updater v.2.1.67.1 -------------AdobeProduction---------------------- Adobe Flash Player 14 ActiveX v.14.0.0.176 Adobe Flash Player 14 Plugin v.14.0.0.179 -------------Browser------------------------------ Opera 11.10.2092 Opera 12.17 v.12.17.1863 -------------RunningProcess----------------------- C:\Program Files\Opera\opera.exe v.12.17.1863.0 -------------EndLog------------------------------- В общем, всё в порядке. Ещё раз огромное вам благодарю! 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	29.08.2014, 15:42	6
	Удачи! 0