-
Junior Member
- Вес репутации
- 55
svchost...не может быть..через 3 мин после загрузки.Help
Добрый день.После загрузки системы через 3-5 мин недели 2 назад начала появляться ошибка svchost.exe не может быть с вариантами.Были вырусы.С трудом после Dr.Wed Cureit от вирусов вроде избавились.Поставил КAV 2010.Проверку сделал, вроде тихо.Но эта ошибка вымыкает просто,не хочется перебивать XP.Еще после проверки AVZ есть cure.zip.Жду Вашей помощи.
С Ув.vova_san
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 55
Работаю в локалке посредством Radmin.В скрипте учтите это плз.
-
2010 по моему ещё не вышел в релиз, или это бетка?
постараюсь не трогать радмин, но предупреждаю :компьютер перегрузиться после выполнения скрипта.
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\TaskSwitch.exe','');
QuarantineFile('D:\d1vmq.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\d1vmq.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\urretnd.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\DOCUME~1\C4C4~1\LOCALS~1\Temp\mc23.tmp','');
QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
DeleteFile('C:\DOCUME~1\C4C4~1\LOCALS~1\Temp\mc23.tmp');
DeleteFile('C:\WINDOWS\system32\urretnd.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
карантин новый создаться, его загрузить по красной ссылке. http://virusinfo.info/upload_virus.php?tid=45529
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 55
При отключении от локалки работает 20 мин и ошибки не выдал (до лечения).Скрипт выполнил, после перезагрузки через 1 мин снова "память не может быть read".Логи прикалываю.После перезагрузки "память не может быть written"
-
в логах то же самое, то ли логи перепутали, то ли скрипт не сработал.
Попробуйте через сам касперский выполнить скрипт.Он понимает язык avz.
Ответ от каспера:
avz00002.dta, avz00004.dta, avz00006.dta - Trojan-GameThief.Win32.Magania.awru,
avz00008.dta - Trojan-GameThief.Win32.Magania.awrv
Так что должен уметь бороться, обновите бызы и просканируйте.
-
-
Junior Member
- Вес репутации
- 55
Увы ничего не помогло.Может я чего то не то делаю.Без локалки вроде как работает, тока подкидываем и все.И еще я в реестре посмотрел svchost.exe так там нашел 259 ссылок где запускается этот файл с разными параметрами.
-
Junior Member
- Вес репутации
- 55
И еще где в каспере выполнить скрипты можно?Я весь перевернул,Не нашел.Плохо искал?
-
Попробуйте ту версию, которая у меня в подписи.архив распаковать. Отключить каспера перед запуском avz.
P.s. Да.
# откройте главное окно программы
# нажмите ссылку Поддержка в левой нижней части окна
#нажать на Трассировка.
Последний линк на исполнение скрипта avz. Mожет в бетке что-то изменили, не пробовал.
-
-
Junior Member
- Вес репутации
- 55
Выполнил скрипт отключив от локалки.Установил KIS 2010,обновил базы и удалил вирусы.Сейчас за 6 ч. непрерывной работы в инете,svchost.exe ни разу не появилась.Надеюсь все работает.Нашел 3 учетных записи с админскими правами и прописанными ip-ишниками.Отключил их.Возможно открытый анонимный доступ и участие этих чертей и приводило к плачевным результатам.Прикрепляю файлы на осмотр.В реестре запись O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\TaskSwitch.exe имеет ли негативный характер? Огромное спасибо за помощь.Избежал переустановки винды.
-
Отключите восстановление системы! , там какие-то подозрительные файлики
в TaskSwitch.exe вредного не обнаружено.
После перезагрузки можно включить заново, хотя советую пользоваться чем-нибудь более реально полезным- например от Acronis ...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\d1vmq.exe - Trojan-GameThief.Win32.Magania.awru ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.PWS.OnlineGames.KBTT )
- c:\windows\system32\optyhww0.dll - Trojan-GameThief.Win32.Magania.awrv ( DrWEB: Trojan.PWS.Wsgame.10708, BitDefender: Trojan.PWS.OnlineGames.KBTT )
- c:\windows\system32\urretnd.exe - Trojan-GameThief.Win32.Magania.awru ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.PWS.OnlineGames.KBTT )
- d:\d1vmq.exe - Trojan-GameThief.Win32.Magania.awru ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.PWS.OnlineGames.KBTT )
-