При подключении интернета появляется ошибка svchost.exe
Чистил вебом, он нашел вирус DarkShell успешно его поборол и удалил. Но спустя время сообщение о ошибке опять начало появлятся. Видимо, не добил веб.
Помогите вычистить. Заранее спасибо
При подключении интернета появляется ошибка svchost.exe
Чистил вебом, он нашел вирус DarkShell успешно его поборол и удалил. Но спустя время сообщение о ошибке опять начало появлятся. Видимо, не добил веб.
Помогите вычистить. Заранее спасибо
Все ещё нужна помощь.
Ребята, всё ещё жду помощи.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Help3333.exe',''); QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe',''); DeleteService('WinHelvbnp32'); DeleteService('WinHe33'); DeleteService('Win801'); QuarantineFile('C:\WINDOWS\system32\WinHe801.exe',''); QuarantineFile('C:\WINDOWS\system32\i8485\D001.exe',''); DeleteService('Fir803'); QuarantineFile('C:\WINDOWS\system32\fire803.exe',''); QuarantineFile('C:\WINDOWS\system32\WinHe800.exe',''); DeleteService('ukXsjKOz'); QuarantineFile('C:\Program Files\ggiogq.exe',''); SetServiceStart('MSUpdqteqrid', 4); SetServiceStart('MSUpdqteawy', 4); QuarantineFile('C:\Program Files\dqrhqi.exe',''); DeleteService('Win800'); QuarantineFile('c:\temp\sRIFdYav.sys',''); DeleteFile('c:\temp\sRIFdYav.sys'); DeleteFile('C:\Program Files\dqrhqi.exe'); DeleteFile('C:\Program Files\ggiogq.exe'); DeleteFile('C:\WINDOWS\system32\i8485\D001.exe'); DeleteFile('C:\WINDOWS\system32\WinHe800.exe'); DeleteFile('C:\WINDOWS\system32\fire803.exe'); DeleteFile('C:\WINDOWS\system32\WinHe801.exe'); DeleteFile('C:\WINDOWS\system32\WinHelp32.exe'); DeleteFile('C:\WINDOWS\system32\Help3333.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:var i : integer; KeyList : TStringList; begin KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.'); end; end; KeyList.Free; SaveLog(GetAVZDirectory + 'fystemRoot.log'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Карантин отправил. И вот логи.
В логах чисто?
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог комбофикса.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\svciktjn.exe c:\windows\system32\ukurpu.exe c:\windows\system32\ZD53.exe c:\windows\system32\drivers\tcpz-x86d.sys c:\windows\system32\WinHe802.exe Driver:: TCPZ National Instruments Domain ServNationalcews rcmdsvcs Rswemo teStowragew Win802 Frjiuc Tglsxthg Vls Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог Комбофикса повторно
Попробуйте выполнить скрипт для ComboFix еще раз в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал
Хм, попробуйте еще так сделать: файл CFScript.txt скопируйте на диск С и переносите его на пиктограмму именно с диска C
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил с С диска в безопастном режиме. После выполнения в отличии от предыдущих, комп перезагрузился. Так же этот раз перед выполнением скрипта отключил службу востановления системы, она почему-то а авто запуск переходит после выполнения скрипта.
Теперь сработало
Восстановление системы включает Вам ComboFix
Удалите в МВАМ только указанные строки (если они будут найдены)Код:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\krnlsrvc (Trojan.Agent) -> Value: krnlsrvc -> No action taken. c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\B6EV0Y90\ad1in[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\3JB6G4UJ\5[1].exe (Backdoor.Hupigon) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 49
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\svchost.com - Virus.Win32.Neshta.a ( DrWEB: Win32.HLLP.Neshta, BitDefender: Trojan.Generic.7048013, NOD32: Win32/Neshta.A virus, AVAST4: Win32:Neshta )
- c:\\windows\\system32\\eghmi3.exe - Trojan-Spy.Win32.VB.coq ( DrWEB: Trojan.PWS.Spy.11891, BitDefender: Trojan.Generic.6428481, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\windows\\system32\\nwcwks.dll - Trojan.Win32.Inject.bgkf ( DrWEB: Trojan.PWS.Spy.12768, BitDefender: Trojan.Generic.6354103, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\uldukwtt.dll - Trojan-Clicker.Win32.Casu.epq ( DrWEB: Trojan.Click1.59515, BitDefender: Trojan.Generic.6483547, NOD32: Win32/TrojanDownloader.Boaxxe.AG trojan, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\userinit.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Михаил_83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.