Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Загрузка SVCHOST. Приложение "Total XP Security" (заявка № 74072)

  1. #1
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27

    Thumbs up Загрузка SVCHOST. Приложение "Total XP Security"

    При загрузке системы выскакивает окно, имитирующее центр безопасности Win. Начинается "проверка" с нахождением вирусных угроз. Загрузка системы процессом svchost.exe почти 100%. Логи прилагаются
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\documents and settings\localservice\local settings\application data\ave.exe');
     QuarantineFile('c:\documents and settings\localservice\local settings\application data\ave.exe','');
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     QuarantineFile('c:\windows\system32\config\systemprofile\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syspck32.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syspck32.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('c:\windows\system32\config\systemprofile\wuaucldt.exe');
     DeleteFile('c:\windows\system32\wuaucldt.exe');
    DeleteFile('c:\documents and settings\localservice\local settings\application data\ave.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Svchost.exe больше не грузит. Приложение Total XP Security по-прежнему загружается. Полная проверка AVP-Tool ничего не дала. Логи прилагаются.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Карантин отправлен.

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    C:\WINDOWS\system32\Drivers\cdrom.sys замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\documents and settings\localservice\local settings\application data\ave.exe');
     DeleteFile('c:\documents and settings\localservice\local settings\application data\ave.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Файл заменён. Скрипт выполнен. Визуально - проблема исчезла. Спасибо. Логи прилагаю.
    Вложения Вложения

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Пофиксите в HiJack
    Код:
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    Установите Internet Explorer 8
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Пофиксил. Загрузка svchost опять 100%. Новые логи прилагаются. На всякий случай первый скрипт сделал в БР.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Соответственно, svchost грузит только при подключенном сетевом соединении.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syspck32.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syspck32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Установите все обновления, вышедшие после SP3

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Скрипт выполнен. Обновления установлены. Теперь загрузка svchost исчезла. Зато появилась загрузка 100% при запуске любого браузера с любой страницей. Логи приложены.
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Карантин пуст. Высылать нечего.

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Anti-Malware загружена, установлена. Сканирование произведено. Отчет прилагается.
    Вложения Вложения

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Удалите в МВАМ
    Код:
    Заражено значений реестра:
    HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> No action taken.
    HKEY_CLASSES_ROOT\secfile\shell\open\command\(default) (Rogue.MultipleAV) -> No action taken.
    
    Заражено параметров реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\LocalService\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe") Good: (firefox.exe) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\LocalService\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\LocalService\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> No action taken.
    
    Заражено файлов:
    C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    Что сейчас с браузерами?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Вечером загрузка 100% была. Утром пропала. Почему, не знаю. Может - перезагрузка компа, может - закрытие какой-либо вкладки в Firefox.

    Файлы в МВАМ удалил, сначала 2 верхних, потом - остальные. Логи прилагаю. Вроде все работает нормально, глюков не наблюдаю. Большое спасибо за помощь.
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Браузеры работают нормально, загрукзка проца обычная...

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Верхние 2 строки еще раз удалите
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    14.10.2009
    Сообщений
    30
    Вес репутации
    27
    Верхние 2 строки еще раз удалил...
    Лог прилагаю...
    Вложения Вложения

  21. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Теперь порядок
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) AvtoPupkin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 3
      Последнее сообщение: 17.07.2011, 11:11
    3. Ответов: 5
      Последнее сообщение: 26.04.2010, 22:18
    4. Ответов: 1
      Последнее сообщение: 06.12.2008, 00:13
    5. Ответов: 2
      Последнее сообщение: 01.11.2008, 17:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00979 seconds with 20 queries