SVCHOST.EXE и XP Defender

[Sokol444]

Здравствуйте! Надеюсь вы сможете мне помочь!
Заранее извиняюсь что так много написал, просто хочу дать вам как можно более полную картину.
У меня ноутбук ACER ASPIRE 5920G, после покупки (3 года назад) я отдал его опытному программисту и он мне (за бабло) удалил лиценз Висту т.к. она постоянно вылетала и тормозила и поставил пиратку ХР сервис пак 2, все работало норм и я был доволен.
Месяца 3-4 назад при выключении начала выскакивать ошибка "завершение не отвечающей программы GUI Main" и комп выключался только после нажатия-Завершить сейчас-Отчет на отправлять. Я не придумал ничего лучше чем восстановить систему на пару месяцев назад когда этого прогона еще на было, это не помогло. Периодически эта ошибка меня мучает по сей день. Ни знаю связано ли это как-то с тем что произошло несколько дней назад или нет. А произошло следующее:
Последние года полтора я использую лицензионный антивирус "DR Web" оплачивая его через провайдера "дом.ру" Базы постоянно обновлены.
Вирус, под видом процесса SVCHOST.EXE постоянно грузит процессор на 50% все программы из-за этого тормозят, если его завершить компьютер требует выключения, так-же бывает процесс CMD.EXE грузит на 30%, но его можно завершить ничего не происходит. Проводил полную проверку докторвебом результата нет. Решил попробывать откатить систему на точку восстановления на 1 марта, в процессе этого появилось какое-то лечиво по английски, я не придал значения, после востановления появился банер в виде какой-то антивирусной программы XP Defender, которая тапа сканирует систему и находит 27 разных вирусов. Данная программа полностью на английском языке, также после включения компа выскакивает окно: Центр обеспечения безопасности WINDOWS в котором Брандмауэр отключен, Авт.обновление включено, Защита от вирусов отключена. Включить которые невозможно. Так же предлагается перейти по ссылке и зарегистрировать данный продукт на пол года-49$, на год-59$, на 2 года-69$. При этом полностью нарушен функционал ОС, программы не запускаются, при наведении мышки на "Пуск"-"Программы" появляется надпись-"Пусто". Доктор веб мой кудато исчез, в трее его нет, по ярлычку не запускается. Диспетчер задач не открывается. Я решил установить и мне это удалось Касперского,пробную версию на месяц, обновил базы, задрал все настройки на максимум, очень был удивлен когда обнаружил в доверенных программах и исключениях знакомую программу SVCHOST.EXE, думаю ну все ща я победю, удалил её от туда, провел полную проверку, было найдено ограмное кол-во троянов, 1 вирус, опаснае программы, Касперский несколько раз перезагружал комп, писал что требуется специальное лечение, короче в итоге написал что удалить этот файл (SVCHOST.EXE)невозможно. Путь:C:\WINDOWS\SYSTEM32\SVCHOST.EXE, я залез вэту папку но такого файла там нет, есть просто SVCHOST, и SVCHOST(3).
Нужно отдать ему должное долбанный банер-вымогатель XP Defender пропал, но полностью вирус не исчез, по прежнему не работают программы, эта дрянь все ещё сидит в моем компе и пытается соединится с кем-то через инет, Касперский блокирует соединение.Дословно: обнаружено зашифрованное соединение (SSL\TSL)разорвано, Путь:C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Не могу отключить восстановление системы, не работает панель управления и все программы, пишет выберите программу для открытия этого файла, запускать получается только правой клавишей и старт, ладно хоть браузер работает, сделал ровеку AVZ и логи как написано у вас, только не смог запустить их от имени админестратора т.к. требуется пароль, я пользуюсь компом один и никогда не ставил никаких паролей, может там по умолчанию какой-то пароль стоит?
С нетерпением жду ответа!

[Шапельский Александр]

Здравствуйте! Отключите восстановление системы!
Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\wuaucldt.exe','');
 QuarantineFile('c:\documents and settings\Владелец\wuaucldt.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 DeleteFile('c:\documents and settings\Владелец\wuaucldt.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
BC_ImportAll;
ExecuteSysClean;
Executerepair(1);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[Sokol444]

Не могу отключить восстановление системы
уменя Windows XP:
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows.
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer).
появляется маленькое окно "Панель управления" надпись: C:\WINDOWS\system32\rundll32.exe Приложение не найдено. и один вариант ОК!

Карантин прислал.

[Шапельский Александр]

c:\windows\system32\wuaucldt.exe
c:\documents and settings\Владелец\wuaucldt.exe
C:\WINDOWS\system32\regedit.exe
Посмотрите в карантине есть ли эти файлы?
Если есть, то пришлите согласно Приложение 3 правил

[Sokol444]

Нет, таких нет.
Там есть два вот таких:
C:\WINDOWS\system32\Drivers\cdrom.sys
C:\WINDOWS\system32\sfcfiles.dll

Прислать их?

[Шапельский Александр]

Сделайте новые логи.

[Sokol444]

Сделайте новые логи.

Вот они

[polword]

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [syncman] c:\documents and settings\Владелец\wuaucldt.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\wuaucldt.exe','');
 QuarantineFile('c:\documents and settings\Владелец\wuaucldt.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 DeleteFile('c:\documents and settings\Владелец\wuaucldt.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
 QuarantineFile('C:\Program Files\plugin.exe','');
 DeleteFile('C:\Program Files\plugin.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(1);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[Шапельский Александр]

Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\Владелец\wuaucldt.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\Program Files\plugin.exe','');
 DeleteFile('C:\Program Files\plugin.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 DeleteFile('c:\documents and settings\Владелец\wuaucldt.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
 RenameFile('%windir%\system32\rundll32.exe', '%windir%\system32\rundll32.bak');
CopyFile('%windir%\system32\dllcache\rundll32.exe', '%windir%\system32\rundll32.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(1);
Executerepair(6);
Executerepair(8);
Executerepair(11); 
Executerepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Пробуйте отключить Восстановление системы и сделайте новые логи.

[Sokol444]

Обязательно!!! Системное восстановление!!! как- посмотреть можно тут,------ по этой ссылке я все доскональна изучил, о чем речь? вы имеете ввиду отключить восстановление системы? я не могу это сделать, т.к. описал выше. Может есть какой-то другой способ отключить его?

Добавлено через 3 минуты

После того как я Профиксил в HijackThis, попробывал перезагрузится, экран потемнел все перестало работать, ЖЕСТЬ, перезагрузился через просто кнопкой((((

[Шапельский Александр]

Вы выполнили последний скрипт?

[Sokol444]

Да последний скрипт выполнил, кажись помогло)))) Смог отключить восстановление системы.!!!!!! Проигрыватель может воспроизводить музыкальные файлы! Ща сделаю логи и пришлю карантин.

[Шапельский Александр]

Ок! Ждемс

[Sokol444]

Ок! Ждемс

вот

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\system32\rundll32.bak','');
DeleteFile('%windir%\system32\rundll32.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

[Sokol444]

Карантин выслал. Вроде все норм работает теперь! Спасибо чуваки! Спасли меня от этого геморроя. Так что-же это было? И как это опять не подхватить? Бесит то что я плачу ежемесячно за лиценз доктор вэб и выхватываю таких головняков...

Добавлено через 32 секунды

а еще скрипт. щааа

[Шапельский Александр]

Проблема решена?
Рекомендую прочитать эти рекомендации--http://virusinfo.info/showthread.php?t=30339
и http://security-advisory.virusinfo.info/

[Sokol444]

Проблема решена. Спасибо!

[Шапельский Александр]

У Вас ПК не долечен, необходимо заменить C:\WINDOWS\system32\Drivers\cdrom.sys этот файл из дистрибутива.
Как правильно заменить файл см. здесь--http://virusinfo.info/showthread.php?t=51654
Затем сделайте логи!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\drivers\cdrom.sys - Rootkit.Win32.Agent.bdzp ( DrWEB: Win32.Lutin.2, BitDefender: Gen:Heur.Krypt.3 )
  2. c:\windows\system32\drivers\cdrom.sys - Rootkit.Win32.Agent.bdzq ( DrWEB: Win32.Lutin.2, BitDefender: Gen:Heur.Krypt.3 )