Преглед за печат
Да, прав си, точно това имах предвид, като казах по горе,че положението е много деликатно със scvhost.exe, тъй като този файл си е оригинален на Win.
Трудно е така отдалечено да ти помогне някой, тъй като трябва да се прегледат всички services, които се стартират при тебе.
Казваш, че s<u>c</u>vhost.exe е оригиналният Windows файл? Като стартирам Task Manager ми дава следното:
s<font color="red">v</font id="red">chost.exe LOCAL SERVICE
s<font color="red">v</font id="red">chost.exe NETWORK SERVICE
s<font color="red">v</font id="red">chost.exe SYSTEM
s<font color="red">v</font id="red">chost.exe SYSTEM
Realtime защитата не открива нищо нередно и компа си бачка нормално. Няма buffer overflow и CPU load си е на нормалното ниво.
svchost.exe е оригиналния!!!
явно Malone още не се е събудил... :Р
http://securityresponse.symantec.com...aobot.gen.html
Прочети горния линк от Dockera (а по нагоре го има и от Malone), там всичко е описано точка по точка как да го махнеш...
svchost.exe, newuser ...
Обърнал съм буквите, извини ме, още ми е никулденско.
Dockera правилно ме критикува ... [:D]
//edit
То че ми е винско, винско ми е, ама с това copy, paste без да чета ...
<blockquote id="quote"><font size="1" id="quote"><b id="quote">цитат:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">... а после станаха winhlpp32.exe и scvhost.exe. Работата се усложнява доста...
<div align="right">оргинално мнение на newuser</div id="right">
</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">
@outlook & Dockera
Абе аз все оцветявам линковете в червено и явно newuser не е погледнал, че под "<font color="red">тук</font id="red">" има линк, към symantec.
Ще ги оцветявам вече в teal, сигурно е по user friendly. По се приема като линк.
//edit
<font color="teal">//offtopic</font id="teal">
Сега обаче стана супер цигания, а Docker?
Червено "тук", сини кавички ... mouseover и стават червени ...
Мале, мале ...
<font color="teal">//offtopic</font id="teal">
[;)]
Напротив. Посетих *всички* сайтове, които ми дадохте. Не за първи път пиша във форум, така че спокойно :). Въпросът е, че дори след като изпълних една по една стъпките, указани от Symantec за махането на вируса, той все пак беше засечен повторно от Symantec Antivirus Realtime Protection. Този път обаче беше инфектиран друг файл, както писах по-рано.
<font color="limegreen">//edit</font id="limegreen">
А ето това се появи точно когато отворих един Ексел файл от локалната мрежа с таблица на IP на другите потребители:
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: W32.HLLW.Oror.AG@mm
File: \\Server2\upload tuka programi\WinAmp_3.1_Cool.exe
Location: Quarantine
Computer: RAWSTEEL
User: Joro
Action taken: Clean failed : Quarantine succeeded : Access denied
Date found: Mon Dec 08 16:01:46 2003
Някой не спомена ли нещо за Roron? Защото този се казва W32.HLLW.<font color="orange">Oror</font id="orange">.AG@mm. Вижда се, че съм подложен на постоянна атака от LAN-а. ZoneAlarm достатъчна ли е за да предотврати атаките?
P.S. А коя версия на ZoneAlarm бихте ми препоръчали - Pro, Plus или Free?
ZoneAlarm Pro, ама това няма да ти спре вирусите... И на това "upload tuka programi" му сложи парола все пак... Ако искаш я обяви в някакво readme, ама с тоя full access без парола не oror ами не знам какво още ще прилепиш...
Чакай сега, че много разхвъляхме темата.
Ти направи ли това, което ти казах?
Свали всички patch-ове за Win и ги инсталирай, не помня с XP ли беше ...
Update-вай си дефинициите на NAV.
След това:
Откачи се от всякакви мрежи.
Изключи System restore.
Рестартирай в Save Mode.
Пусни Full Scan на системата. Всички файлове. Всички партишъни. Задължително в Save Mode!!!
Каквото изтрие NAV изтрие, del ръчно и на всичко от карантината.
Задължително си запиши, къде и какво намира и какво е успял да направи NAV.
Ако нещо не е успял да премести, изтрие или излекува, направи го ръчно.
Изчисти файловете и от регистратурата. Не мога така наизуст да ти кажа в кои секции да търсиш, гледай какво е открил NAV и така търси.
Най малкото ще има записи в HKLM. Разбира се преди това, не е лошо да и направиш резервно копие, ако нещо се оплеска.
Потърси да не са останали някакви говна от тия дето е открил NAV и във win.ini.
Del и на тях.
Рестартирай.
Full Scan на системата вече не в Save Mode. Просто за проба.
Включи System Restore.
Включи се в мрежата.
След това си инсталирай Zone Alarm или каквото искаш ...
То вашата мрежа не е мрежа, ами инфекциозно отделение ...
[8D]
//edit
Честно казано за Roron не знам ...
Ако има нещо допълнително в процедурата, да помогне outlook. Аз нямам опит с този вирус.
За съжаление е точно Roron. Слушай сега, понеже разбирам че имаш локална мрежа и други компютри, направи задължително следните стъпки (иначе няма да се изчистиш никога):
Вариант 1 (според мен по-добрия):
1. Направи си Boot дискета.
2. Изтегли си F-prot за DOS.
3. Разархивирай го някъде в някоя директория, но на всички компютри в мрежата..
4. Рестартирай и зареди DOS от дискетата.
5. Пусни F-prot и изчисти всички вируси.
6. Изгаси засега този компютър и се прехвърли един по един на всички останали и повтори стъпки 4 и 5.
Ако имаш късмет ще си изчистил всичко. Тук ти препоръчвам да продължиш с вариант 2.
Вариант 2:
1. Изключи Switch-a или Hub-a на мрежата или всички такива ако са повече от един. Ако не ги знаеш къде са изключи задължително кабелите от мрежовите карти на ВСИЧКИ компютри в мрежата.
2. Пусни всеки един Windows на всички компютри в Safe mode.
3. Изчисти ги с антивирусна програма (която си изтеглил) един по един.
4. Направи рестарт на всички и пусни отново антивирусната програма.
5. Ако нямаш повече вируси можеш да включиш мрежата и не би трябвало да имаш повече проблеми.
Точка 4. я препоръчвам макар и да не е 100% задължителна. За ZoneAlarm всяка една версия ще ти върши работа, но е желателно да е инсталиран на интернет сървъра, защото иначе се губи смисъла от firewall.
P.S. За този вирус ако пуснеш антивирусна програма или изтриеш някой негов Key от Registry-то или изтриеш файла winfile.dll вирусът ще се активира и ще ти изтрие всички файлове от всички дискове... Има и още нещо лошо. Активира се и трие файловете и на 9-то и 19-то число... Утре е 9-ти (т.е. ще стане след час и половина), така че ако не знаеш какво правиш пропусни по-добре утрешния ден и ще си спестиш доста неприятности! Според мен е най-добре да извикаш някой, който разбира достатъчно за да се справи, иначе има голям шанс да си изпатиш сериозно! Стискам палци!
//edit
Ако не можеш да направиш горните неща на компютрите в мрежата си изключи твоя и се изчисти чрез горните стъпки и след това си инсталирай ZoneAlarm-a като не е лошо да му окажеш High за local и internet setting-ите, както и да изчистиш всички отметки от засечените мрежи в Local Zone Contents. Ако не го направиш ще се заразиш пак! Едва след това се вържи в мрежата пак. Ако ZoneAlarm-a те пита за някакъв Network му дай - No задължително!
Леле, човече, успя да ме стреснеш! Нямам достъп до локалните компютри по простата причина, че съм само един от потребителите, ползващи LAN Интернет в тази мрежа. Пипнах вируса докато разглеждах локалните компютри в My Network Places. Единственото, което мога да направя е да го изчистя от собствения си компютър. Ще сканирам PC-то още сега, но какво да правя при положение, че вирусът се активира като го изтрия?
DivX 5.5 Full.exe
\\Server2\upload tuka programi
Virus name: W32.HLLW.Oror.AG@mm
Computer: RAWSTEEL
User: Joro
Action taken: Quarantined
Status: Infected
Current location: Quarantine
Date found: 12/8/2003
Scan type: Realtime scan
Set action: Clean virus from file
Set backup action: Quarantine infected file
Същото го има и за WinAmp_3.1_Cool.exe. Ще потърся повече инфо в сайта на Symantec.
//edit Прочетох написаното за вируса в сайта на Symantec и не открих никакви промени в registry-то от страна на вируса. Всички keys си бяха същите, както са описани в Security Response, но сега ще направя едно сканиране на системата за по-сигурно. Цитирам стъпка 3 от инструкциите за почистване на вируса:
Run a full system scan, record the file names, and then delete all the files detected as W32.HLLW.Oror.C@mm. След опит да изтрия вируса, Symantec Antivirus казва, че но може да извърши операцията поради една от следните причини:
Файловете са изтрити или преместени
Компютърът, на който се съхраняват е изключен
Опитвам се да трия файлове, който се съдържат в e-mail
Днес е 9-то число и щом пишеш значи вирусът не е активен в момента (поне не е активен в паметта)... Иначе нямаше да пишеш със сигурност. Направи си Boot дискета (или ако не можеш някой да ти направи) и следвай горните стъпки, които съм ти написал. Повече от това не мога да ти помогна с писане... Послушай и Raid и на тази директория си сложи парола... А най-добре е да махнеш всички share-нати дискове и директории иначе все ще ревеш...
Сложих high security settings на gateway-а на локалната мрежа. Boot дискета имам още откакто си инсталирах Win-а. По какъв начин предлагаш да махна всички share-нати дискове и директории?
Нормално ли е да имам следния key в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: <font color="orange">Configuration Loader REG_SZ scvhost.exe</font id="orange"> ?
Не е нормално... Това е вирус... За Share-ингите - Start\Settings\Control Panel\Computer management\Shared folders. Скритите share-нги (със знак $ накрая) се забраняват малко по трудно... Но ако ZoneAlarm-a ти работи те не са проблем... Можеш да махнеш обаче всички други. Също там от Local Users and Groups\Users си забрани Guest account-a, a на останалите (вкл. твоя) сложи пароли.
Щом е вирус го трия. Да, ZoneAlarm работи, но ми се струва, че забавя здраво Интернета... На два пъти се случва да блокира входящи requests от един и същи комп в мрежата, за който съм сигурен, че не е gateway, защото IP-то му не завършва на "0" или "1". Това е някоя от машините в мрежата, която сигурно е заразената. А наложително ли е да изключвам guest account-а? Иначе моят акаунт си има парола.
//edit След рестарт на компа ZoneAlarm ме попита следното:
Do you want to allow Generic Host Process for Win32 Services to act as a server?
Technical Information
Source IP: 0.0.0.0
Application: svchost.exe
Version: 5.1.2600.0 (xpclient.010817-1148)
Последно вирус ли е или не?
<font color="red">svc</font id="red">host.exe НЕ Е вирус, както вече Malone и Dockera писаха. Услугите на този сървис се ползват от различни процеси (без да задълбаваме кои) и той е необходим за нормалната работа на системата ти. Обикновено имаш поне 5-6 активни инстанции на svchost. Съобщението на ZoneAlarm не е стряскащо (виж IP-то) - разреши му да "act as server". За всеки случай погледни в горния край на прозореца на ZA какви са ти активните svchost-ове и какви портове слушат. Ако са с номера под 1000 - нямаш грижи (в общия случай). Ако слуша 5000 - пак си ОК. Ако обаче имаш други (както при мен беше с 2869 например) - кажи кои са.