Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

svchost,explorer.exe (заявка № 53332)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31

    Exclamation svchost,explorer.exe

    Здравствуйте, отец удалял вирусы, в результате чего при перезагрузке не было рабочего стола(експлорер.ехе) не найден... Он восстановил систему на предыдущую дату, почистил вири, все работает.. НО... Все время вылазит ошибка svchost ( отправлять не отправлять), а так же через файрвол наблюдаю такое...
    EXPLORER.EXE TCP 66.36.228.233 2741 ~Автоматически созданное правило для соединения 0 0
    И так все время.. по 9-10 таких соединений вижу... Комп еле работает. Логи ниже.Спасибо!!!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('digeste.dll','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Wingm06.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winpv41.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\yrtumdriver.sys','');
     DeleteService('zgerflslrfbanz');
     DeleteService('Winpv41');
     DeleteService('Wingm06');
     DeleteService('Winek06');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     DeleteService('synsend');
     QuarantineFile('C:\WINDOWS\system32\drivers\RSMNZJVV.sys','');
     DeleteService('RSMNZJVV');
     QuarantineFile('C:\WINDOWS\system32\drivers\qrozxfho.sys','');
     DeleteService('pmuanazierghep');
     DeleteFile('C:\WINDOWS\system32\drivers\qrozxfho.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\RSMNZJVV.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\tbrmnqlnwjo.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winpv41.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wingm06.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winek06.sys');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('digeste.dll');
     QuarantineFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
     DeleteFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Главное меню\Программы\Автозагрузка\ikowin32.exe');
     BC_ImportDeletedList;
     BC_DeleteSvc('pmuanazierghep');
     BC_DeleteSvc('RSMNZJVV');
     BC_DeleteSvc('synsend');
     BC_DeleteSvc('Winek06');
     BC_DeleteSvc('Wingm06');
     BC_DeleteSvc('zgerflslrfbanz');
     BC_DeleteSvc('Winpv41');
     ExecuteSysclean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).


    Сделайте лог гмера по правилам http://virusinfo.info/showthread.php?t=40118

    Повторите логи AVZ.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31
    Признаки сетевой активности остались... Свчост ушла ошибка, но гмер руткита чтоли выхватил.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Выполните рекомендации из этой темы: "Как бороться с TDSS?"
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31
    Ща... А с этим как быть? логи кроме тдсс чисты?
    66.36.228.233

    Добавлено через 13 минут

    TDSS вылечил. активность сетевая как и была, так и есть

    Удалил в интернет експлорер\коммон файлс файл, забыл назхвание.. через яндекс нашел. айсвордом удалил, сетевой активности вроде нету... АА тдсс так и не удалился, каждый раз после перезагрузки прога заново его находит.
    Последний раз редактировалось Coollest; 31.08.2009 в 18:42.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    - Сделайте такой лог: http://virusinfo.info/showpost.php?p=454444&postcount=3
    - Повторите лог Гмер.

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31
    Сейчас приехал с отдыха, удалял вирусы... Тдсссом еще раз удалил... Перезагрузил, нет рабочего стола.. Еще раз... Все также нету... Начал проверять АВЗ, всоре выложу логи... но уж больно долго авз проверяет.. Около часа

  9. #8
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31
    Присылаю Логи... При перезагрузке вылетил экран смерти.. тдсс не вылечен...
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    - Сделайте такой лог: http://virusinfo.info/showpost.php?p=454444&postcount=3
    - Повторите лог Гмер.
    Не все логи сделали

  11. #10
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31
    При ребуте BSOD, а потом прога тупо не загружается.... Так как нет рабочего стола...

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Отключите восстановление системы!!!
    Если не обновить систему до SP3 и последующих обновлений борьба рискует затянуться
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\RECYCLED\Dc1.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe','');
     QuarantineFile('$‘|x.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
     QuarantineFile('C:\Program Files\KYE\WebMate\BM.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Рабочий стол\.\..\drwvas.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\yrtumdriver.sys','');
     QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP159\A0060718.EXE','');
     QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP158\A0059983.EXE','');
     QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP157\A0050066.EXE','');
     QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP155\A0048681.exe','');
     QuarantineFile('e:\windows\system32\drivers\TDSSserv.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     DeleteFile('$‘|x.exe');
     DeleteFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Рабочий стол\.\..\drwvas.exe');
     DeleteFile('C:\Program Files\KYE\WebMate\BM.exe');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\yrtumdriver.sys');
     DeleteFile('C:\RECYCLED\Dc1.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Connection Wizard Configuration Tool');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BMISR');
     DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
     DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
     BC_ImportALL;
     BC_DeleteSvc('rk_remover');
     BC_DeleteSvc('YiRuanUSB');
     BC_DeleteFile('e:\windows\system32\drivers\TDSSserv.sys');
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     ExecuteRepair(8);
     ExecuteRepair(9);
     ExecuteRepair(16);
     RebootWindows(true);
    end.
    Закачайте карантин. Сделайте новые логи

  13. #12
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31
    Перезагрузился, рабочий стол есть. .признаковвируса свиду нету. Теперь вопрос. Синий экран смерти при перезагрузке есть. И у меня тут фат32 стоит, при перезагрузке CHKdsk вылазит.. он там какие-то файлы проверяет, поэтому во время лечения яч пропускаю эту процедуру нажатием клавиши... Нужно ли сделать эту процедуру???? Сейчас поставил логи делать, через часа будут.
    Спасибо.


    З.Ы В логе авенжера написано, что но руткитс фанд. все.)
    Последний раз редактировалось Coollest; 09.09.2009 в 14:06.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Chkdsk пропускаете, поэтому он каждый раз и вылезает. С каким кодом синий экран вываливается? Восстановление системы отключили? Безопасный режим работает? И где собственно карантин?

  15. #14
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31
    vegas, я карантин скину, как логи сделаются... Ок? часа 2 все это займет. Как буду перегружаться, постараюсь разглядеть... но началось все после вируса - 100%... Безопасный вроде да..
    Чекдиск дождался, но при перезагрузке - синий экран и после этого опять чкдиск вылазит...

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Значит ждем карантин и новые логи

  17. #16
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31
    Логи прилагаю, карантин отослал.
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     DeleteService('ksiqtvul');
     QuarantineFile('C:\WINDOWS\system32\drivers\ytlq.sys','');
     QuarantineFile('C:\windows\system32\drivers\TDSSserv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' ');
     DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
     DeleteFile('C:\WINDOWS\system32\drivers\ytlq.sys');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     BC_ImportALL;
     BC_DeleteSvc('ksiqtvul');
     BC_DeleteFile('C:\windows\system32\drivers\TDSSserv.sys');
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Закачайте карантин. Запустите еще раз последнюю версию TDSS remover . Сделайте логи АВЗ и Avenger http://virusinfo.info/showpost.php?p=454444&postcount=3

  19. #18
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31
    TDSS Remover нажимаю делит селектид, он удаляет якобы, перегружает и заного его находит.... Вот и че делать???... Логи Карантина выслал. Лог Авенжера не скидываю, там надпись Но руткитс файнд и все... Подвешиваю лог тдсс_ремовер.. Так как там есть некоторые данные. Логи АВЗ сделаю завтра, сегодня футбол, совсем уж не успеваю.

    Файл сохранён как 090909_203207_virus_4aa7d88716fd3.zip
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    31
    Прилагаю логи.. пока жалоб нету.. Но тдсс так и не удалился.
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Прогресс налицо, однако в каждом логе появляется что-то новое - и только тдсс остается . Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\PROGRA~1\TEXT-R~1\PAGERE~1\TRPAGE~1.DLL','');
     StopService('rk_remover');
     QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
     DeleteService('rk_remover');
     QuarantineFile('bichhin.sys','');
     DeleteService('TDSSserv');
     QuarantineFile('e:\windows\system32\drivers\TDSSserv.sys','');
     BC_DeleteFile('e:\windows\system32\drivers\TDSSserv.sys');
     BC_ImportALL;
     BC_DeleteSvc('TDSSserv');
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Карантин закачайте, если тдсс останется скачайте свежий CureIt и пролечитесь в безопасном режиме. Затем - новые логи
    Последний раз редактировалось vegas; 10.09.2009 в 20:30.

  • Уважаемый(ая) Coollest, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Проблема с explorer и svchost
      От sabin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 06.04.2011, 14:56
    2. svchost и explorer.exe в загрузке ЦП.
      От Promise в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.06.2010, 14:21
    3. Ответов: 10
      Последнее сообщение: 29.05.2010, 20:20
    4. svchost грузит процессор, глючит explorer
      От s772068 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 20.05.2010, 12:36
    5. Планировщик заданий, svchost,explorer.dll
      От dehtyar в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 07.07.2008, 14:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00097 seconds with 22 queries