Заражен SVCHOST.EXE !!!

[HSH]

При запуске одного из компьютеров AVAST ругнулся на svchost.exe и снес его в хранилище. После чего система упала (не работает сеть, не копируются и не перемещаются файлы, не запускается большинство программ.) Пришлось доставать диск-реаниматор.
Теперь на двух других компах "та же история с хомячком и черепахой".
Трогать svchost.exe не стал, боюсь.
Вот лог с наиболее важного компа. Помогите пожалуйста!

[Гриша]

Отключите антивирус!


AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
QuarantineFile('c:\windows\system32\svchost.exe','');
BC_ImportQuarantineList;     
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23996

Затем такой скрипт:

Код:

var x : Integer;
Begin
x := CheckFile('%windir%\system32\dllcache\svchost.exe');
If x = 3 then
begin
AddToLog('>>>Файл опознан как безопасный, продолжаем');
RenameFile('%windir%\system32\svchost.exe', '%windir%\system32\svchost.bak');
CopyFile('%windir%\system32\dllcache\svchost.exe', '%windir%\system32\svchost.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','SFCDisable',000000000);
BC_DeleteFile('%windir%\System32\MSCORE.DLL');
BC_DeleteFile('%windir%\system32\svchost.bak');
BC_Activate;
SaveLog(GetAVZDirectory + 'cure.log');
RebootWindows(true);
end else
AddToLog('>>>Файл не опознан как безопасный, стоп!');
SaveLog(GetAVZDirectory + 'cure.log');
end.

Прикрепите к сообщению cure.log.

[HSH]

После выполнения первого скрипта машина загрузилась без поддержки сети и выхода в интернет. Отключена функция вставки и копирования.
Как быть дальше?

Добавлено через 43 секунды

После выполнения первого скрипта машина загрузилась без поддержки сети и выхода в интернет. Отключена функция вставки и копирования.
Как быть дальше?

[Bratez]

Откройте в AVZ Менеджер служб и драйверов, выберите Тип - Службы, Статус - Все, сохраните протокол, запакуйте в zip и прикрепите.

Добавлено через 45 секунд

Файл svchost.exe замените чистым из дистрибутива или здоровой системы.

[HSH]

Каким образом я его заменю?
Вставка, копирование и т.д. не работают!

Добавлено через 56 секунд

Поможет, если я ручками набью второй скрипт в редакторе и выполню его?

[Гриша]

Попробуйте,только аккуратно,не ошибитесь ни где

[Bratez]

Примерно так:

1. Копируем чистый svchost.exe со здорового компьютера на дискету A:.

2. На своем запускаем окно командной строки (Пуск - Выполнить - cmd.exe).

3. Выполняем следующие команды:
C:
CD \windows\system32
ren svchost.exe svchost.bak
A:
copy svchost.exe C:
(после каждой нажимаем Enter).

4. Перезагружаемся.

[HSH]

После оператора пробел обязателен?

Добавлено через 29 минут

А куда дискету в ноутбук вставить? С флешки не копируется никакими способами...

[Bratez]

А куда дискету в ноутбук вставить? С флешки не копируется никакими способами...

Как насчет CD-R?

[HSH]

Не записывает и не заменяет даже из коммандной строки. Мало того, выдается сообщение, что файла svchost.exe в папке вообще нет, хотя вот он, как миленький лежит...
Похоже, дело пахнет переустановкой системы...

Добавлено через 8 минут

Мужики! Ну не молчите... и так офис целый день в трансе! Имеет смысл долбаться или сносить винду к маме?

Добавлено через 3 минуты

Кстати, похоже, что у Patjomkin и helenrf та же зараза...

[PavelA]

Можно попробовать скопировать из dllcashe, если зверек его там не заменил.
Пуск - выполнить - cmd, нажать Ок.
В черном окне:
copy '%windir%\system32\dllcache\svchost.exe' %windir%\system32

[kps]

Зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
Понадобится установочный диск Windows.
Перезагрузитесь.

Если не поможет, то зайдите в Консоль Восстановления http://support.microsoft.com/kb/314058/ru и попробуйте заменить файл svchost.exe на чистый оттуда.

[HSH]

Господа хелперы, спасибо большое за желание помочь!

Думаю дальнейшая инфа будет вам полезна.
Ни в коем случае нельзя трогать (переименовывать, перемещать, заменять или карантинить) зараженный файл svchost.exe из папки system32! практика показала, что система продолжает стабильно работать. Два компа при попытке лечения упали, один зараженный ни как не проявляет болезни (с него кстати и пишу).

Как вылечить svchost.exe не знаю, но тут Вам и карты в руки.
При попытке перемещения или переименования svchost.exe полностью отрубается сеть, заражается dllcache, блокируется возможность перемещения и вставки других файлов и запуск большинства программ. Что, сами понимаете, грозит полной потерей нужной информации.
Заменить svchost.exe из какого-либо источника также не представляется возможным!

ЗЫ: Всё-таки талантливые ребята пишут вирусы!

[PavelA]

Для поиска дальнейших вариантов лечения Ваши комменты нам очень важны и пригодятся при написании рекомендаций по лечению.
Не уходите далеко, спецы из ЛК и Доктора Веба помогут Вам избавиться и от этого вируса.

[Гриша]

Это был ложняк Аваста

[PavelA]

@Гриша Ссылочку на И-цию дашь? Иначе не поверю

[Гриша]

@Павел а ты посмотри сколько тем на форуме и сразу поверишь

Добавлено через 7 минут

http://avast.ru/forum/viewtopic.php?t=3183

[HSH]

Лажняк Аваста говорите? С каких это пор Аваст с AVZ одинаково лажаются?!

Добавлено через 37 секунд

[Гриша]

Во всех темах,в которых нам удалось взять образец SVCHOST.EXE-он чистый,почитайте я дал ссылку на форум Аваста

[V_Bond]

Во всех темах,в которых нам удалось взять образец SVCHOST.EXE-он чистый

посто аваст принимая его за зловреда добросовестно подчищает реестр ... так что накатывайте windows в режиме восстановления ... кое- какие ветки реестра придется восстанавливать вручную ...