Показано с 1 по 11 из 11.

svchost...не может быть..через 3 мин после загрузки.Help (заявка № 45529)

  1. #1
    Junior Member Репутация
    Регистрация
    06.05.2009
    Сообщений
    18
    Вес репутации
    28

    Exclamation svchost...не может быть..через 3 мин после загрузки.Help

    Добрый день.После загрузки системы через 3-5 мин недели 2 назад начала появляться ошибка svchost.exe не может быть с вариантами.Были вырусы.С трудом после Dr.Wed Cureit от вирусов вроде избавились.Поставил КAV 2010.Проверку сделал, вроде тихо.Но эта ошибка вымыкает просто,не хочется перебивать XP.Еще после проверки AVZ есть cure.zip.Жду Вашей помощи.
    С Ув.vova_san

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    06.05.2009
    Сообщений
    18
    Вес репутации
    28
    Работаю в локалке посредством Radmin.В скрипте учтите это плз.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    2010 по моему ещё не вышел в релиз, или это бетка?
    постараюсь не трогать радмин, но предупреждаю :компьютер перегрузиться после выполнения скрипта.

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\TaskSwitch.exe','');
     QuarantineFile('D:\d1vmq.exe','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\d1vmq.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\urretnd.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\DOCUME~1\C4C4~1\LOCALS~1\Temp\mc23.tmp','');
     QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
     DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
     DeleteFile('C:\DOCUME~1\C4C4~1\LOCALS~1\Temp\mc23.tmp');
     DeleteFile('C:\WINDOWS\system32\urretnd.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    карантин новый создаться, его загрузить по красной ссылке. http://virusinfo.info/upload_virus.php?tid=45529
    Сделайте новые логи.

  5. #4
    Junior Member Репутация
    Регистрация
    06.05.2009
    Сообщений
    18
    Вес репутации
    28
    При отключении от локалки работает 20 мин и ошибки не выдал (до лечения).Скрипт выполнил, после перезагрузки через 1 мин снова "память не может быть read".Логи прикалываю.После перезагрузки "память не может быть written"

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    в логах то же самое, то ли логи перепутали, то ли скрипт не сработал.
    Попробуйте через сам касперский выполнить скрипт.Он понимает язык avz.
    Ответ от каспера:
    avz00002.dta, avz00004.dta, avz00006.dta - Trojan-GameThief.Win32.Magania.awru,
    avz00008.dta - Trojan-GameThief.Win32.Magania.awrv

    Так что должен уметь бороться, обновите бызы и просканируйте.

  7. #6
    Junior Member Репутация
    Регистрация
    06.05.2009
    Сообщений
    18
    Вес репутации
    28
    Увы ничего не помогло.Может я чего то не то делаю.Без локалки вроде как работает, тока подкидываем и все.И еще я в реестре посмотрел svchost.exe так там нашел 259 ссылок где запускается этот файл с разными параметрами.

  8. #7
    Junior Member Репутация
    Регистрация
    06.05.2009
    Сообщений
    18
    Вес репутации
    28
    И еще где в каспере выполнить скрипты можно?Я весь перевернул,Не нашел.Плохо искал?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Попробуйте ту версию, которая у меня в подписи.архив распаковать. Отключить каспера перед запуском avz.
    P.s.
    Плохо искал?
    Да.
    # откройте главное окно программы
    # нажмите ссылку Поддержка в левой нижней части окна
    #нажать на Трассировка.
    Последний линк на исполнение скрипта avz. Mожет в бетке что-то изменили, не пробовал.

  10. #9
    Junior Member Репутация
    Регистрация
    06.05.2009
    Сообщений
    18
    Вес репутации
    28
    Выполнил скрипт отключив от локалки.Установил KIS 2010,обновил базы и удалил вирусы.Сейчас за 6 ч. непрерывной работы в инете,svchost.exe ни разу не появилась.Надеюсь все работает.Нашел 3 учетных записи с админскими правами и прописанными ip-ишниками.Отключил их.Возможно открытый анонимный доступ и участие этих чертей и приводило к плачевным результатам.Прикрепляю файлы на осмотр.В реестре запись O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\TaskSwitch.exe имеет ли негативный характер? Огромное спасибо за помощь.Избежал переустановки винды.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Отключите восстановление системы! , там какие-то подозрительные файлики
    в TaskSwitch.exe вредного не обнаружено.
    После перезагрузки можно включить заново, хотя советую пользоваться чем-нибудь более реально полезным- например от Acronis ...

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\d1vmq.exe - Trojan-GameThief.Win32.Magania.awru ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.PWS.OnlineGames.KBTT )
      2. c:\windows\system32\optyhww0.dll - Trojan-GameThief.Win32.Magania.awrv ( DrWEB: Trojan.PWS.Wsgame.10708, BitDefender: Trojan.PWS.OnlineGames.KBTT )
      3. c:\windows\system32\urretnd.exe - Trojan-GameThief.Win32.Magania.awru ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.PWS.OnlineGames.KBTT )
      4. d:\d1vmq.exe - Trojan-GameThief.Win32.Magania.awru ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.PWS.OnlineGames.KBTT )


  • Уважаемый(ая) vova_san, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 11.12.2010, 05:18
    2. svchost.exe память не может быть read
      От BoomBeer в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 15.10.2010, 17:17
    3. svchost.exe память не может быть read
      От BoomBeer в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.10.2010, 13:00
    4. svchost.exe память не может быть read
      От MIKKKI в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.08.2010, 00:09
    5. Svchost - память не может быть written.
      От Japgorco в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 09:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01319 seconds with 20 queries