svchost грузит процессор на 100%, nod блокирует попытку запроса discountprowatch, при проверке DrWeb CureIt в безопасном режиме выскакивает BSoD.
svchost грузит процессор на 100%, nod блокирует попытку запроса discountprowatch, при проверке DrWeb CureIt в безопасном режиме выскакивает BSoD.
В безопасном режиме выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\b7463cd5.exe',''); QuarantineFile('C:\Users\Owner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monoca32.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DeleteFile('C:\Users\Owner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monoca32.exe'); DeleteFile('C:\Windows\system32\b7463cd5.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis:
Перезагрузите ПК.Код:F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\b7463cd5.exe,
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
в HijackThis ничего не нашлось с кодом F2.
Однако процессор уже не грузится на 100%.
Выполните скрипт
Сделайте новый лог virusinfo_syscheck.zipКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
сделал.
Выполните скрипт
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\Drivers\ezcir.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
сделайте лог Gmer.
Лог Gmer
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 8eokek4z.exe случайное имя утилиты (gmer)
И запустите сохранённый пакетный файл cleanup.bat.Код:8eokek4z.exe -del service ezcir 8eokek4z.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ezcir" 8eokek4z.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ezcir" 8eokek4z.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ezcir" 8eokek4z.exe -reboot
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
к сожалению, даже при запуске данного пакетного файла с правами администратора пишет что "Отказано в доступе", но в конце компьютер перезагружается.
Лог файл
Делаем паузу, надо подумать.
Что сейчас с проблемой?
Сводка с фронта
svchost больше не кушает 100% процессора (во всяком случае первые полчаса работы, потом не проверял).
всё, что вы говорили в постах №4, №6, №8 я делал НЕ В БЕЗОПАСНОМ режиме. может быть, проблема из-за этого?
и еще. как только я написал первый пост, я удалил Eset Nod32. в правилах было написано что надо выгрузить антивирус, но НОД мне уже так надоел что я решил его полностью удалить). вот
Нет.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8eokek4z.exe (gmer)
И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmerКод:8eokek4z.exe -del service ezcir 8eokek4z.exe -del file "C:\Windows\System32\Drivers\ezcir.sys" 8eokek4z.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ezcir" 8eokek4z.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ezcir" 8eokek4z.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ezcir" 8eokek4z.exe -reboot
опять "Отказано в доступе" при запуске данного пакета.
а при проверке Gmer'ом выскочил синий экран, лишь со второй попытки удалось провериться.
Лог файл.
Скачайте LiveCD запишите образ на CD-R/CD-RW, загрузитесь с него и просканируйте ПК
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по ezcir и выберите "Turn Run Off", потом подтвердите перезагрузку.
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\Drivers\ezcir.sys',''); DeleteFile('C:\Windows\System32\Drivers\ezcir.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
в настоящий момент заражённый компьютер проверяется, поэтому сделать последний предложенный вариант лечения смогу, скорее всего, не раньше чем примерно сегодняшние вечер/ночь.
Наконец-то компьютер проверился на вирусы с диска LiveCD)
Было обнаружено несколько троянов и некоторые dll библиотеки с директориях с папками, где файлы браузеров лежат (фф,опера) в основном с названиями setupapi.dll.
Затем работал с программой OSAM. Лог работы
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- установите SP2 для Vista
установил IE8, SP2 для Vista.
можно ли считать лечение оконченным?
если Вас больше ничего не беспокоит, то да
Уважаемый(ая) cesc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.