Показано с 1 по 14 из 14.

Куча копий svchost.exe, services.exe и cmd.exe, скрипты avz не работают (заявка № 44860)

  1. #1
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    7
    Вес репутации
    55

    Thumbs up Куча копий svchost.exe, services.exe и cmd.exe, скрипты avz не работают

    Здравствуйте!

    Не знаю, сможете ли Вы мне помочь, но попытка не пытка.
    Три дня назад компьютер начал практически сразу после загрузки вылетать с BSOD'ом и IRQL_LESS_OR_NOT_EQUAL.
    В конце концов удалось загрузиться в безопасном режиме и проверить всю систему CureIt. Нашлось бешеное количество Win32.Virut.56. Вылечили

    После этого синие экраны прекратились, но при загрузке в обычном режиме появляется куча копий процессов cmd.exe, services.exe, svchost.exe в памяти, при подключении к интернету процессор забивается под 100% процессом lsass.exe.

    Сделала полную проверку компьютера с помощью AVPTool в безопасном режиме. Вылечилось большое количество файлов с Trojan.Win32.Agent2.ipp, было удалено несколько вирусов (названия не записала, что-то там Backdoor..), а также несколько вылечено несколько файлов с Win32.Virut.ce (видимо, недобитых CureIt).

    Пыталась запустить скрипт сбора информации Avz - примерно через минуту AVZ закрывается без всякого предупреждения. Запуск компьютера в безопасном режиме, использование AVZGuard и переименование файла avz.exe ничего не меняют. Если не запускать в AVZ проверку - то он работает как ни в чем не бывало, не закрывается.

    В интернете удается работать только при включенном AVZGuard, иначе процессор занят и невозможно работать.

    Подскажите пожалуйста, можно что-нибудь сделать или единственный выход - снести систему? Сносить очень нежелательно

    Заранее огромное спасибо! Прошу прощения, что нарушаю правила форума!
    Вложения Вложения
    Последний раз редактировалось Шестипалый; 01.05.2009 в 21:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Попробуйте этот AVZ http://rapidshare.com/files/199106177/toto.pif

  4. #3
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    7
    Вес репутации
    55

    Удалось запустить скрипты

    Удалось запустить скрипты AVZ после того, как удалила два скрытых файла с расширением .sys, на которых AVZ вылетала.
    Логи проверок прилагаются.
    Помогите, пожалуйста!
    Заранее спасибо большое
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Установите надежные пароли на учетные записи пользователей с правами администратора.
    Установите обновления безопасности на Windows.

    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('D:\WINDOWS\System32\svchost.exe','');
     QuarantineFile('D:\WINDOWS\system32\Drivers\NDIS.sys','');
     DeleteService('AvFlt');
     DeleteService('ethiompn');
     DeleteService('sptd');
     QuarantineFile('D:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe','');
     QuarantineFile('D:\WINDOWS\TEMP\rtv_winupd.exe','');
     QuarantineFile('D:\WINDOWS\system32\userinit.exe','');
     DelBHO('{B863453A-26C3-4e1f-A54D-A2CD196348E9}');
     DelBHO('{FE063DB9-4EC0-403e-8DD8-394C54984B2C}');
     DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
     QuarantineFile('D:\WINDOWS\services.exe','');
     QuarantineFile('D:\WINDOWS\Temp\VRT67.tmp','');
     DeleteFile('D:\WINDOWS\Temp\VRT67.tmp');
     DeleteFile('D:\WINDOWS\services.exe');
     DeleteFile('D:\WINDOWS\TEMP\rtv_winupd.exe');
     DeleteFile('c:\program Files\ThunMail\testabd.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

  6. #5
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    7
    Вес репутации
    55

    services.exe исчез

    Спасибо Вам!

    Карантин загрузила:
    Файл сохранён как 090501_225238_virus_49fb44f6a7fcf.zip
    Размер файла 21194
    MD5 2eadf4ae644b7cb6b97db231dfb46dc3

    Новый лог прикладываю к письму. Правда, я при получении этого лога не отметила галочками все диски, и они не проверялись. Это нужно сделать?

    Sevices.exe и cmd.exe исчезли, но странности остались (хотя может это уже и не вирусы): svchost.exe регулярно и подолгу занимает 100% процессора, при этом ничего не читает и не пишет на диск. и еще постоянно наблюдается небольшая сетевая активность, даже когда закрыт браузер и выгружены все программы.
    Вложения Вложения
    Последний раз редактировалось Шестипалый; 02.05.2009 в 03:33.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('restore');
     StopService('ethiompn');
     QuarantineFile('D:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('D:\WINDOWS\system32\drivers\restore.sys','');
     QuarantineFile('D:\WINDOWS\system32\drivers\ethiompn.sys','');
     DeleteService('restore');
     DeleteService('ethiompn');
     DeleteFile('D:\WINDOWS\system32\drivers\restore.sys');
     DeleteFile('D:\WINDOWS\system32\drivers\ethiompn.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('restore');
     BC_DeleteSvc('ethiompn');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    7
    Вес репутации
    55
    Удалила bonjour и кеши всего, чего только можно

    Сделала повторные проверки, логи прилагаются к сообщению.
    Закачала два архива с карантинами - карантин после скрипта и карантин после повторной проверки.

    Компьютер уже стал работать гораздо лучше, спасибо большое!!!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - D:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
    O2 - BHO: (no name) - SOFTWARE - (no file)
    - Выполните скрипт
    Код:
    begin
    ExecuteRepair(13);
    ExecuteRepair(14);
    RebootWindows(true);
    end.
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8

  10. #9
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    7
    Вес репутации
    55
    Спасибо Вам огромное за помощь!!

    - Пофиксила указанное с помощью hijackthis и выполнила скрипт в avz.
    - Установила IE 8.

    SP3 установить не получается - программа установки заявляет, что файл ndis.sys занят другим приложением и из-за этого установка SP3 не может быть продолжена. что за приложение занимает ndis.sys - понять не удалось

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Шестипалый Посмотреть сообщение
    программа установки заявляет, что файл ndis.sys занят другим приложением
    Найдите и пришлите этот файл по правилам (Приложения 2 и 3).

  12. #11
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    7
    Вес репутации
    55
    Результат загрузки
    Файл сохранён как 090504_005713_virus_49fe05291ea66.zip
    Размер файла 188159
    MD5 0a825ef3c6bf966b105c6a550011f702

    Напрямую добавить файл в карантин не удалось (в WINDOWS невозможно сделать с файлом ничего - ни скопировать, ни удалить, ни в каратин запихнуть в AVZ). Загрузила ubuntu, скопировала файл, на всякий случай запихнула в архив и уже этот архив добавила в винде в карантин AVZ.
    Кстати, в ubuntu файл на 20 кб больше, чем в windows

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    ndis.sys = Virus.Win32.Protector.a (Trojan.NtRootKit.2670)
    попробуйте заменить его на оригинальный из дистрибутива Windows, загрузившись с CD.

  14. #13
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    7
    Вес репутации
    55
    Удалось заменить файл через линукс!!!

    Теперь комп нормально работает!!!
    Спасибо Вам огромное за помощь!!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. i:\ndis.zip - Virus.Win32.Protector.a ( DrWEB: archive: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )


  • Уважаемый(ая) Шестипалый, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost.exe, services.exe + спам-бот
      От Alvor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.07.2009, 17:11
    2. Userinit.exe, services.exe, svchost.exe
      От EvgenyS в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 18.07.2008, 15:58
    3. Ответов: 0
      Последнее сообщение: 12.04.2008, 18:11
    4. Ответов: 13
      Последнее сообщение: 11.04.2008, 15:44
    5. SVCHOST.exe and services.exe лишние.
      От UncleSam в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 28.04.2006, 22:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01088 seconds with 20 queries