-
Junior Member
- Вес репутации
- 53
svchost.exe и Generic Host Win32 выдают ошибк и комп зависает
Проблема такая - во время работы компа, в любое время (может через минуту, может через 5 часов) вылезти ошибка svchost.exe или Generic Host Win32 и комп моментально почти виснет. 90% случаев svchost.exe касперский блокирует и комп не виснет(svchost.exe обратился к такому-то файлу с вирусом), но в 10% виснет. Логи приложил
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы отключить.
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\windows\system\dllcache.exe');
QuarantineFile('d:\windows\system\netmon.exe','');
TerminateProcessByName('d:\windows\system\netmon.exe');
QuarantineFile('D:\WINDOWS\system32\08.scr','');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('D:\Program Files\Ask.com\GenericAskToolbar.dll','');
QuarantineFile('D:\WINDOWS\system32\restorer32_a.exe','');
QuarantineFile('D:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('d:\windows\system\dllcache.exe','');
DeleteFile('d:\windows\system\netmon.exe');
DeleteFile('d:\windows\system\dllcache.exe');
DeleteFile('D:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('D:\WINDOWS\system32\restorer32_a.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
DeleteFile('D:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('D:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('D:\WINDOWS\system32\08.scr');
DeleteFileMask('C:\WINDOWS\system32','??.scr', false);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\System32\Drivers\ai3wnjn6.SYS','');
QuarantineFile('D:\Documents and Settings\NetworkService\Application Data\Microsoft\wubifaca.exe','');
DeleteService('wop8isuooxo01o');
QuarantineFile('D:\WINDOWS\system32\drivers\sysdrv32.sys','');
DeleteService('sysdrv32');
QuarantineFile('D:\WINDOWS\system32\restorer32_a.exe','');
QuarantineFile('D:\Program Files\Ask.com\UpdateTask.exe','');
QuarantineFile('D:\INSTALL\Всё для Oracle\книги\Электронные\oracleb.zip','');
QuarantineFile('D:\INSTALL\Всё для Oracle\программы\Developer_(Oracle_Forms&Reports)\oracle_forms\oracle_boooks\oracle_forms\oracleb\forms_t.doc','');
QuarantineFile('D:\INSTALL\Всё для Oracle\программы\Developer_(Oracle_Forms&Reports)\oracle_forms\oracle_boooks\oracle_forms.zip','');
QuarantineFile('D:\WINDOWS\system\dllcache.exe','');
QuarantineFile('D:\WINDOWS\system32\08.scr','');
DeleteFile('D:\WINDOWS\system32\08.scr');
DeleteFile('D:\WINDOWS\system\dllcache.exe');
DelBHO('D4027C7F-154A-4066-A1AD-4243D8127440');
DeleteFile('D:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('D:\WINDOWS\system32\restorer32_a.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
DeleteFile('D:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('D:\Documents and Settings\NetworkService\Application Data\Microsoft\wubifaca.exe');
DeleteFile('c:\windows\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('D:\Program Files\Ask.com\UpdateTask.exe','');
DeleteService('uliim');
QuarantineFile('D:\WINDOWS\system32\08.tmp','');
DeleteFile('D:\WINDOWS\system32\08.tmp');
DeleteFile('D:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('c:\windows\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('uliim');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
-
Зачистим остатки. Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('d:\windows\Tasks\Scheduled Update for Ask Toolbar.job');
DeleteFilemask('D:\Program Files\Ask.com','*.*',true);
DeleteDirectory('D:\Program Files\Ask.com');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
Сделал. Но до выполнения последнего скрипта опять вылезла ошибка svchost.exe
-
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\System32\Drivers\apomyddw.SYS','');
BC_ImportAll;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 53
-
Файла в карантине нет. Выполните последний скрипт и закачайте карантин
-
-
Junior Member
- Вес репутации
- 53
Странно почему в прошлый раз не появилось. Сделал, щас точно всё есть
-
Карантин пустой, повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению. Проверим еще раз
-
-
Junior Member
- Вес репутации
- 53
-
В логе подозрительного не увидел, что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
Вылезает, но намного реже, каперский с разным успехом ловит. Все ошибки - svchost.exe обратился к такому-то файлу содержащему вирус/троян. Может наделать скринов из отчёта касперского?
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 39
- В ходе лечения обнаружены вредоносные программы:
- d:\windows\system\dllcache.exe - Backdoor.Win32.IRCBot.lav ( DrWEB: Win32.HLLW.Druck.5, BitDefender: Trojan.Generic.2092100, NOD32: Win32/IRCBot.AMC trojan, AVAST4: Win32:Inject-SW [Trj] )
- d:\windows\system32\08.scr - Backdoor.Win32.IRCBot.lav ( DrWEB: Win32.HLLW.Druck.5, BitDefender: Trojan.Generic.2092100, NOD32: Win32/IRCBot.AMC trojan, AVAST4: Win32:Inject-SW [Trj] )
-