svchost.exe:ext.exe задолбал

[Nekromant]

Доброго времени суток!
Несколько дней борюсь с вирусами. Началось всё с торможения работы, закончилось "Внезапным завершением службы services.exe". Касперский что-то находил, однако больше отбивалсая от атак с помощью "механизма внутренней самозащиты" и в конечном итоге ни фига не сделал. Запустил SDFix, она часть заразы вывела, затем помог hijackthis, успокоив службу services.exe.
Сейчас комп грузится, работает без тормозов, однако все антивирусы находят от двух до восьми процессов svchost.exe:ext.exe, висящих в системе. Кроме того, при работе Касперского и AVZ система минут через пять вылетает в BSOD, что-то там с физической памятью. Лог лечения и карантина по этой причине снять невозможно, направляЮ что есть. Заранее благодарю за помощь.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('R:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe','');
 QuarantineFile('R:\autorun.inf','');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('sxmg4.dll','');
 QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Glb55.sys','');
 QuarantineFile('C:\WINDOWS\system32\wwxubcn32.dll','');
 DeleteFile('C:\WINDOWS\system32\wwxubcn32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Glb55.sys');
 DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('R:\autorun.inf');
 DeleteFile('R:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('catchme');
 BC_DeleteSvc('Glb55');
 BC_DeleteSvc('Isapwac');
 BC_DeleteSvc('CbEvtSvc');
 BC_DeleteSvc('bEvtSvcE');
 BC_DeleteSvc('bEvtService');
 BC_DeleteSvc('FCI');
 BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=34804).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[Nekromant]

Направил запрошенный карантин. Забыл сказать, что после дечения Hijack-ом комп не стал грузиться в safe-mode. Такого фокуса я ещё не видел...

[Nekromant]

Повторные логи

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('odbcasvc');
 QuarantineFile('C:\WINDOWS\SYSTEM32\odbcasvc.EXE','');
 QuarantineFile('C:\WINDOWS\system32\wwxubcn.dll','');
 DeleteFile('C:\WINDOWS\system32\wwxubcn.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\odbcasvc.EXE');
 DeleteFile('wwxubcn.dll');
 DeleteFile('sxmg4.dll');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DelCLSID('{A744F16C-B2D5-4138-81A2-085CDFCDE83A}');     
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('odbcasvc');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Nekromant]

Повторил карантин и логи. Вроде как svchost.XXX прибили. Кстати (или некстати), после любой перезагрузки, даже штатной, вылазит chkdisk и проверяет индексы, но почему-то на D. Разумеется, там всё в порядке. На С проверял всего один раз, нашёл кучу ошибок (ещё до запуска сриптов). И ещё, в диспетчере постоянно висит spoolsv.exe размером в 5132 Мб, хотя я ничего не печатал.

[V_Bond]

скачайте C:\WINDOWS\system32\Drivers\Glb55.sys - force delete
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Glb55');
 DeleteFile('C:\WINDOWS\system32\Drivers\Glb55.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи

[Nekromant]

Я не тормоз, я медленный газ. Вчера Интернет отрубился ровно в полночь, спасибо провайдеру.
Я не понял, надо было скачать этот самый SpyRemover и силовым методом удалить glb55.sys? Это и есть корень зла? Действительно, Hijack-ом он не удаляется. Однако SpyRemover толстоват (12 Мб+ 30Мб баз). Качать действительно надо?
Между тем похоже все вчерашние результаты опять пошли на смарку. Опять куча барахла в логах, флэшку убрал подальше с её авторанами, периодические BSODы …
Всё сначала? Высылаю логи

[Гриша]

Скачать,меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\system32\Drivers\Glb55.sys

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Glb55');
 DeleteService('ICF');             
 DeleteFile('C:\WINDOWS\system32\wwxubcn.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Glb55.sys');
 DeleteFile('C:\WINDOWS\jrcaggbh.exe');
 DeleteFile('wwxubcn.dll');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_DeleteSvc('Glb55');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[Nekromant]

Логи направил. А glb55.sys удалил из параллельной системы, загрузить и запустить вашу прогораммку не успевал из-за непрерывных перезагрузок. Однако chkdisk-то пашет, непрерывно сканит диск D! Что он там забыл?

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKUS\S-1-5-18\..\Run: [rvekqyup.exe] C:\WINDOWS\rvekqyup.exe (User 'SYSTEM')
O20 - Winlogon Notify: wwxubcn - C:\WINDOWS\

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\rvekqyup.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ethxttap.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ethsqcxl.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\ethsqcxl.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ethxttap.sys');
 DeleteFile('C:\WINDOWS\rvekqyup.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи.

[Nekromant]

Направляю карантин и логи. Сделал полную проверку диска D chkdisk-ом, теперь при загрузке успокоился. Но на C нашёл сбойный кластер в файле подкачки!!! Я в шоке.

[PavelA]

D-диск скорее всего FAT, при неудачной перезагрузке будет всегда запускаться ScanDisk.

[Nekromant]

2 PavelA:
В том-то и дело, что все три диска (C, D и E) NTFS. Физически раздельные, SATA...
Сейчас вроде chkdisk не выскакивает, однако AVZ до конца доработать не может, вылетает голубой экран. То POOL_чего-то там Bad, то ещё чего нибудь.

[Bratez]

В логах чисто.

[Nekromant]

Спасибо. От вирусов вроде избавился. Однако проблема есть-AVZ и Каспер не могут доработать до конца, вылетает BSOD BAD_POOL_HEADER, комп записывает дамп и перегружается. Это апаратная проблема?

[Гриша]

Прикрепите свежий дамп в архиве...

[Nekromant]

Я бы не против, да сохраняется дамп всей физической памяти, а это ровно гигабайт... Двести мегов архива, я так понимаю, никому не нужны
Сегодня появился новый BSOD - IRQL_NOT_LESS_OR_EQUAL. Что посоветуете? Вирусов вроде нет, тормоза исчезли

[Гриша]

Железо проверьте...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 19
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\rvekqyup.exe - Trojan-Downloader.Win32.Small.agbh (DrWEB: Trojan.DownLoad.1258
  2. c:\\windows\\system32\\cbevtsvc.exe - Trojan.Win32.Agent.arwk (DrWEB: Trojan.DownLoad.4419)
  3. c:\\windows\\system32\\drivers\\ethsqcxl.sys - Rootkit.Win32.Agent.ffo (DrWEB: Trojan.PWS.GoldSpy.2553)
  4. c:\\windows\\system32\\drivers\\ethxttap.sys - Rootkit.Win32.Agent.ffo (DrWEB: Trojan.PWS.GoldSpy.2553)
  5. c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Crypt.aby (DrWEB: BackDoor.Bolg.87)
  6. c:\\windows\\system32\\wwxubcn.dll - Backdoor.Win32.Hijack.ac (DrWEB: BackDoor.JackBot.1)
  7. c:\\windows\\system32\\wwxubcn32.dll - Backdoor.Win32.Hijack.ac (DrWEB: BackDoor.JackBot.1)
  8. r:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\sdcvhost.exe - Worm.Win32.AutoRun.pcs (DrWEB: Trojan.StartPage.21595)