Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

svchost,explorer.exe (заявка № 53332)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58

    Exclamation svchost,explorer.exe

    Здравствуйте, отец удалял вирусы, в результате чего при перезагрузке не было рабочего стола(експлорер.ехе) не найден... Он восстановил систему на предыдущую дату, почистил вири, все работает.. НО... Все время вылазит ошибка svchost ( отправлять не отправлять), а так же через файрвол наблюдаю такое...
    EXPLORER.EXE TCP 66.36.228.233 2741 ~Автоматически созданное правило для соединения 0 0
    И так все время.. по 9-10 таких соединений вижу... Комп еле работает. Логи ниже.Спасибо!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    227
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('digeste.dll','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Wingm06.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winpv41.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\yrtumdriver.sys','');
     DeleteService('zgerflslrfbanz');
     DeleteService('Winpv41');
     DeleteService('Wingm06');
     DeleteService('Winek06');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     DeleteService('synsend');
     QuarantineFile('C:\WINDOWS\system32\drivers\RSMNZJVV.sys','');
     DeleteService('RSMNZJVV');
     QuarantineFile('C:\WINDOWS\system32\drivers\qrozxfho.sys','');
     DeleteService('pmuanazierghep');
     DeleteFile('C:\WINDOWS\system32\drivers\qrozxfho.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\RSMNZJVV.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\tbrmnqlnwjo.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winpv41.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wingm06.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winek06.sys');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('digeste.dll');
     QuarantineFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
     DeleteFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Главное меню\Программы\Автозагрузка\ikowin32.exe');
     BC_ImportDeletedList;
     BC_DeleteSvc('pmuanazierghep');
     BC_DeleteSvc('RSMNZJVV');
     BC_DeleteSvc('synsend');
     BC_DeleteSvc('Winek06');
     BC_DeleteSvc('Wingm06');
     BC_DeleteSvc('zgerflslrfbanz');
     BC_DeleteSvc('Winpv41');
     ExecuteSysclean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).


    Сделайте лог гмера по правилам http://virusinfo.info/showthread.php?t=40118

    Повторите логи AVZ.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58
    Признаки сетевой активности остались... Свчост ушла ошибка, но гмер руткита чтоли выхватил.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    227
    Выполните рекомендации из этой темы: "Как бороться с TDSS?"
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58
    Ща... А с этим как быть? логи кроме тдсс чисты?
    66.36.228.233

    Добавлено через 13 минут

    TDSS вылечил. активность сетевая как и была, так и есть

    Удалил в интернет експлорер\коммон файлс файл, забыл назхвание.. через яндекс нашел. айсвордом удалил, сетевой активности вроде нету... АА тдсс так и не удалился, каждый раз после перезагрузки прога заново его находит.
    Последний раз редактировалось Coollest; 31.08.2009 в 18:42.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Сделайте такой лог: http://virusinfo.info/showpost.php?p=454444&postcount=3
    - Повторите лог Гмер.

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58
    Сейчас приехал с отдыха, удалял вирусы... Тдсссом еще раз удалил... Перезагрузил, нет рабочего стола.. Еще раз... Все также нету... Начал проверять АВЗ, всоре выложу логи... но уж больно долго авз проверяет.. Около часа

  9. #8
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58
    Присылаю Логи... При перезагрузке вылетил экран смерти.. тдсс не вылечен...
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    - Сделайте такой лог: http://virusinfo.info/showpost.php?p=454444&postcount=3
    - Повторите лог Гмер.
    Не все логи сделали

  11. #10
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58
    При ребуте BSOD, а потом прога тупо не загружается.... Так как нет рабочего стола...

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Отключите восстановление системы!!!
    Если не обновить систему до SP3 и последующих обновлений борьба рискует затянуться
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\RECYCLED\Dc1.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe','');
     QuarantineFile('$‘|x.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
     QuarantineFile('C:\Program Files\KYE\WebMate\BM.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Рабочий стол\.\..\drwvas.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\yrtumdriver.sys','');
     QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP159\A0060718.EXE','');
     QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP158\A0059983.EXE','');
     QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP157\A0050066.EXE','');
     QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP155\A0048681.exe','');
     QuarantineFile('e:\windows\system32\drivers\TDSSserv.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     DeleteFile('$‘|x.exe');
     DeleteFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Рабочий стол\.\..\drwvas.exe');
     DeleteFile('C:\Program Files\KYE\WebMate\BM.exe');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\yrtumdriver.sys');
     DeleteFile('C:\RECYCLED\Dc1.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Connection Wizard Configuration Tool');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BMISR');
     DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
     DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
     BC_ImportALL;
     BC_DeleteSvc('rk_remover');
     BC_DeleteSvc('YiRuanUSB');
     BC_DeleteFile('e:\windows\system32\drivers\TDSSserv.sys');
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     ExecuteRepair(8);
     ExecuteRepair(9);
     ExecuteRepair(16);
     RebootWindows(true);
    end.
    Закачайте карантин. Сделайте новые логи

  13. #12
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58
    Перезагрузился, рабочий стол есть. .признаковвируса свиду нету. Теперь вопрос. Синий экран смерти при перезагрузке есть. И у меня тут фат32 стоит, при перезагрузке CHKdsk вылазит.. он там какие-то файлы проверяет, поэтому во время лечения яч пропускаю эту процедуру нажатием клавиши... Нужно ли сделать эту процедуру???? Сейчас поставил логи делать, через часа будут.
    Спасибо.


    З.Ы В логе авенжера написано, что но руткитс фанд. все.)
    Последний раз редактировалось Coollest; 09.09.2009 в 14:06.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Chkdsk пропускаете, поэтому он каждый раз и вылезает. С каким кодом синий экран вываливается? Восстановление системы отключили? Безопасный режим работает? И где собственно карантин?

  15. #14
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58
    vegas, я карантин скину, как логи сделаются... Ок? часа 2 все это займет. Как буду перегружаться, постараюсь разглядеть... но началось все после вируса - 100%... Безопасный вроде да..
    Чекдиск дождался, но при перезагрузке - синий экран и после этого опять чкдиск вылазит...

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Значит ждем карантин и новые логи

  17. #16
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58
    Логи прилагаю, карантин отослал.
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     DeleteService('ksiqtvul');
     QuarantineFile('C:\WINDOWS\system32\drivers\ytlq.sys','');
     QuarantineFile('C:\windows\system32\drivers\TDSSserv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' ');
     DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
     DeleteFile('C:\WINDOWS\system32\drivers\ytlq.sys');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     BC_ImportALL;
     BC_DeleteSvc('ksiqtvul');
     BC_DeleteFile('C:\windows\system32\drivers\TDSSserv.sys');
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Закачайте карантин. Запустите еще раз последнюю версию TDSS remover . Сделайте логи АВЗ и Avenger http://virusinfo.info/showpost.php?p=454444&postcount=3

  19. #18
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58
    TDSS Remover нажимаю делит селектид, он удаляет якобы, перегружает и заного его находит.... Вот и че делать???... Логи Карантина выслал. Лог Авенжера не скидываю, там надпись Но руткитс файнд и все... Подвешиваю лог тдсс_ремовер.. Так как там есть некоторые данные. Логи АВЗ сделаю завтра, сегодня футбол, совсем уж не успеваю.

    Файл сохранён как 090909_203207_virus_4aa7d88716fd3.zip
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    69
    Вес репутации
    58
    Прилагаю логи.. пока жалоб нету.. Но тдсс так и не удалился.
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Прогресс налицо, однако в каждом логе появляется что-то новое - и только тдсс остается . Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\PROGRA~1\TEXT-R~1\PAGERE~1\TRPAGE~1.DLL','');
     StopService('rk_remover');
     QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
     DeleteService('rk_remover');
     QuarantineFile('bichhin.sys','');
     DeleteService('TDSSserv');
     QuarantineFile('e:\windows\system32\drivers\TDSSserv.sys','');
     BC_DeleteFile('e:\windows\system32\drivers\TDSSserv.sys');
     BC_ImportALL;
     BC_DeleteSvc('TDSSserv');
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Карантин закачайте, если тдсс останется скачайте свежий CureIt и пролечитесь в безопасном режиме. Затем - новые логи
    Последний раз редактировалось vegas; 10.09.2009 в 20:30.

  • Уважаемый(ая) Coollest, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Проблема с explorer и svchost
      От sabin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 06.04.2011, 14:56
    2. svchost и explorer.exe в загрузке ЦП.
      От Promise в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.06.2010, 14:21
    3. Ответов: 10
      Последнее сообщение: 29.05.2010, 20:20
    4. svchost грузит процессор, глючит explorer
      От s772068 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 20.05.2010, 12:36
    5. Планировщик заданий, svchost,explorer.dll
      От dehtyar в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 07.07.2008, 14:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01619 seconds with 20 queries