-
Junior Member
- Вес репутации
- 52
SVCHOST.EXE использует много памяти и при обращении NTOSKRNL.EXE к Qva62.sys комп выключается
XP SP3. Стоит AVG и недавно поставил OUTPOST FIREWALL. Заметил что через некоторое время после загрузки процесс SVCHOST.EXE запускается и начинает использовать много памяти при этом он сначала ломится на адрес ip145.hichina.com а потом еще на многие адреса:smtp. Плюс несколько раз комп просто вырубался. Outpost выдал предупреждение, что NTOSKRNL.EXE пытается изменить QVA62.SYS и когда я нажал разрешить комп вырубился.
Логи прилагаю
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
BC_DeleteSvc('Qva62');
QuarantineFile('F:\WINDOWS\system32\Drivers\Qva62.sys','');
DeleteFile('F:\WINDOWS\System32\Drivers\Qva62.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 52
Новый лог
Все сделал. Новый лог. Но Qva62.sys вроде не удалился
-
Выполните скрипт в AVZ:
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Qva62\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Qva62');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Qva62.sys');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Все не то
Несколько раз запускал скрипт. Qva62.sys в карантин не попадает и не удаляется. Скачал unlocker - файл Qva62.sys не удалился даже с помощью этой утилиты. Загрузился из другой оси которая паралельно стоит на компе и под ней переместил этот файл. в другую папку. Запустил скрипт с учетом нового пути файла Qva62.sys все равно в карантин его не добавляет. Но после перемещения проблема с Svchost пропала. так что можно сказать что вопрос решен
-
Запакуйте вручную файл Qva62.sys в zip-архив с паролем virus
и загрузите через ссылку Прислать запрошенный карантин вверху этой темы.
-
-
Junior Member
- Вес репутации
- 52
Сори, но он уже удален бесповоротно. За помощь спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- f:\windows\system32\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows
-