Всё время выскакивает ошибка svchost.exe, когда начинаю выполнять скрипт карантина для помогите, то выскакивает ошибка services.exe и перезагружается компьютер, так что одного лога нету, помогите решить и эту проблему.
Всё время выскакивает ошибка svchost.exe, когда начинаю выполнять скрипт карантина для помогите, то выскакивает ошибка services.exe и перезагружается компьютер, так что одного лога нету, помогите решить и эту проблему.
Последний раз редактировалось trydrv; 05.10.2010 в 13:07.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); TerminateProcessByName('c:\windows\system32\csrcs.exe'); TerminateProcessByName('c:\docume~1\admin\locals~1\temp\toeeap.exe'); TerminateProcessByName('c:\docume~1\admin\locals~1\temp\geurge.exe'); QuarantineFile('C:\WINDOWS\system32\winkey.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\ACD Systems\crtwincrt12\msfttcp.dll',''); QuarantineFile('globalroot\systemroot\system32\userinit.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe',''); QuarantineFile('Explorer.exe csrcs.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\yjsagnr.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\toeeap.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\geurge.exe',''); QuarantineFile('srservice.sys',''); DeleteService('srservice'); QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\afd.sys',''); QuarantineFile('C:\WINDOWS\system32\msmrxgok.dll',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\yjsagnr.exe',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\toeeap.exe',''); QuarantineFile('c:\windows\svc2.exe',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\geurge.exe',''); QuarantineFile('c:\program files\game accelerator\gamexl.exe',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('c:\docume~1\admin\locals~1\temp\geurge.exe'); DeleteFile('c:\docume~1\admin\locals~1\temp\toeeap.exe'); DeleteFile('c:\docume~1\admin\locals~1\temp\yjsagnr.exe'); DeleteFile('C:\WINDOWS\system32\msmrxgok.dll'); DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys'); DeleteFile('srservice.sys'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\geurge.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\toeeap.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\yjsagnr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','0q6l4'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1t93ty'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ewrgetuj'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\ACDSYS~1\CRTWIN~1\msftldr.dll',''); DeleteFile('Explorer.exe csrcs.exe'); DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
В диспетчере задач появились 3 новых задачи: IEXPLORE.exe выполняющий ("C:\Program Files\Internet Explorer\IEXPLORE.EXE" -Embedding) и запущеный от admin хотя я его не запускал, очень подозрительный процесс klwtblfs.exe выполняющий ("C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe" -Embedding) запущенный от admin, и опять много svchost.exe запущенных от SYSTEM, есть только один запущенный от LOCAL SERVICE и два от NETWORK SERVICE. И еще подозрительный SputnikFlashPLayer который то появляется то исчезает
1. Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\winkey.dll'); DeleteFile('C:\WINDOWS\svc2.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetLog2'); QuarantineFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll',''); QuarantineFile('C:\Program Files\Outlook Express\rasadhlp.dll',''); QuarantineFile('C:\WINDOWS\Temp\msdrv32b.exe',''); QuarantineFile('C:\Program Files\The Bat!\rasadhlp.dll',''); DeleteFile('C:\Program Files\Outlook Express\rasadhlp.dll'); DeleteFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll'); DeleteFile('C:\Program Files\The Bat!\rasadhlp.dll'); DeleteFile('C:\WINDOWS\Temp\msdrv32b.exe'); QuarantineFile('C:\Program Files\Opera\rasadhlp.dll',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ntndis.sys',''); QuarantineFile('C:\WINDOWS\system32\ipsecndis.sys',''); QuarantineFile('C:\WINDOWS\system32\fservice.exe',''); QuarantineFile('C:\WINDOWS\system\sservice.exe',''); DeleteFile('C:\WINDOWS\system\sservice.exe'); DeleteFile('C:\Program Files\Opera\rasadhlp.dll'); QuarantineFile('C:\WINDOWS\system32\csbdll.dll',''); DeleteFile('C:\WINDOWS\system32\csbdll.dll'); DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Замените файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.
2.удалите в MBAM что останется из этого
- Сделайте повторный лог MBAMКод:Зараженные процессы в памяти: C:\WINDOWS\svc2.exe (Trojan.Sisron) -> No action taken. Зараженные модули в памяти: C:\Program Files\Opera\rasadhlp.dll (Spyware.Passwords) -> No action taken. C:\WINDOWS\system32\csbdll.dll (Trojan.Agent) -> No action taken. Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. HKEY_CURRENT_USER\Software\MSoftware (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\csbdll (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netlog2 (Trojan.Sisron) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\directx for microsoft® windows (Backdoor.ProRat) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\csrcs (Trojan.Agent) -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken. Зараженные файлы: C:\WINDOWS\svc2.exe (Trojan.Sisron) -> No action taken. C:\Documents and Settings\Admin\Application Data\ACD Systems\crtwincrt12\msftdm.exe (Trojan.Agent) -> No action taken. C:\Documents and Settings\Admin\Application Data\ACD Systems\crtwincrt12\msftdm32.exe (Trojan.Agent) -> No action taken. C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\49MWUTDR\je_nb5[1].exe (Trojan.Downloader) -> No action taken. C:\Documents and Settings\Admin\Рабочий стол\Никиш\Античит\HideToolz.exe (HackTool.HideProc) -> No action taken. C:\Documents and Settings\Admin\Рабочий стол\Рабочий стол\CSHack.exe (Trojan.Dropper.PGen) -> No action taken. C:\Documents and Settings\Admin\Рабочий стол\Рабочий стол\Crack\Keygen-32bits.exe (Trojan.Agent) -> No action taken. C:\Documents and Settings\Admin\Рабочий стол\Рабочий стол\Crack\Keygen-64bits.exe (Trojan.Agent.CK) -> No action taken. C:\Documents and Settings\Admin\Рабочий стол\Рабочий стол\Crack\Adobe Photoshop CS3 Extended\Photoshop.CS3.Extended-Activate.exe (Trojan.Agent.CK) -> No action taken. C:\Documents and Settings\Admin\Рабочий стол\Рабочий стол\Adobe.All.Products.v1.02.Keymaker.Only-CORE\keygen.exe (Trojan.Downloader) -> No action taken. C:\Program Files\Adobe\Adobe Audition 3.0\Crack.exe (Trojan.Downloader) -> No action taken. C:\Program Files\RadminServerStop\newtstop.dll (Spyware.OnlineGames) -> No action taken. C:\Program Files\Total Commander\hnetcfg.dll (Spyware.Passwords) -> No action taken. C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken. C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken. C:\Program Files\FileZilla FTP Client\hnetcfg.dll (Spyware.Passwords) -> No action taken. C:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken. C:\WINDOWS\system32\150.exe (Trojan.Downloader) -> No action taken. C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken. C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken. C:\WINDOWS\system32\csbdll.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\inf\vvt.pnf (Malware.Trace) -> No action taken. C:\WINDOWS\ktd32.atm (Backdoor.ProRat) -> No action taken.
- Сделайте повторный лог virusinfo_syscheck.zip;
Последний раз редактировалось polword; 06.10.2010 в 07:19.
В диспетчере осталась только куча svchosts.exe и всё, помогите решить эту проблему
- Выполните скрипт в AVZ
что с проблемой?Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Остались, но уже меньше
Количество процессов svchost может быть разным на разных системах
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 87
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\acd systems\\crtwincrt12\\msfttcp.dll - Trojan.Win32.Swizzor.xpc ( DrWEB: BackDoor.Msft.1, BitDefender: Backdoor.Generic.475907, NOD32: Win32/Agent.RQN trojan, AVAST4: Win32:Dropper-gen [Drp] )
- c:\\docume~1\\admin\\applic~1\\acdsys~1\\crtwin~1\ \msftldr.dll - Trojan.Win32.Agent.gwoy ( DrWEB: Tool.Siggen.6125, BitDefender: Gen:Variant.Hyat.1, AVAST4: Win32:Malware-gen )
- c:\\docume~1\\admin\\locals~1\\temp\\geurge.exe - Trojan-Downloader.Win32.Metfok.fy ( DrWEB: Trojan.DownLoad1.50077, BitDefender: Trojan.Generic.4976149, AVAST4: Win32:VB-OUQ [Trj] )
- c:\\docume~1\\admin\\locals~1\\temp\\toeeap.exe - Backdoor.Win32.VB.mfc ( DrWEB: Trojan.DownLoader1.22174, BitDefender: Gen:Trojan.Heur.VP.cmGfaCNdsOp, AVAST4: Win32:VB-QQH [Trj] )
- c:\\docume~1\\admin\\locals~1\\temp\\yjsagnr.exe - Backdoor.Win32.VB.mgs ( DrWEB: Trojan.DownLoader1.25563, BitDefender: Gen:Trojan.Heur.VP.cmGfaCjcrXf, AVAST4: Win32:VB-QQH [Trj] )
- c:\\program files\\internet explorer\\rasadhlp.dll - Backdoor.Win32.Delf.woe ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\program files\\mozilla firefox\\rasadhlp.dll - Backdoor.Win32.Delf.woe ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\program files\\opera\\rasadhlp.dll - Backdoor.Win32.Delf.woe ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\program files\\outlook express\\rasadhlp.dll - Backdoor.Win32.Delf.woe ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\program files\\the bat!\\rasadhlp.dll - Backdoor.Win32.Delf.woe ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\windows\\services.exe - Trojan-Dropper.MSIL.Late.cg ( DrWEB: Win32.HLLW.Autoruner.25074, BitDefender: Trojan.Generic.6998777, NOD32: MSIL/TrojanDropper.Agent.BE trojan, AVAST4: MSIL:Small-F [Drp] )
- c:\\windows\\svc2.exe - Trojan.Win32.Scar.cqtu ( DrWEB: BackDoor.Siggen.25814, BitDefender: Trojan.Generic.5990207, NOD32: Win32/TrojanClicker.Delf.NID trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\csbdll.dll - Trojan.Win32.Scar.cwwe ( DrWEB: Trojan.DownLoader1.11670, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\csrcs.exe - Worm.Win32.AutoIt.xl ( DrWEB: Win32.HLLW.Autoruner.27767, BitDefender: Trojan.Generic.6036016, NOD32: Win32/Tifaut.A worm, AVAST4: Win32:AutoIt-RA [Trj] )
- c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
- c:\\windows\\system32\\msmrxgok.dll - Trojan-GameThief.Win32.OnLineGames.xegt ( DrWEB: Trojan.PWS.Gamania.23798, BitDefender: Gen:Trojan.Heur.LP.cu5@auB@vde, NOD32: Win32/PSW.WOW.NOW trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\winkey.dll - Backdoor.Win32.Prorat.bj ( DrWEB: Trojan.KeyLogger.212, BitDefender: Backdoor.Generic.78102, NOD32: Win32/Prorat trojan, AVAST4: Win32:Prorat-BH [Trj] )
- c:\\windows\\temp\\msdrv32b.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.DownLoad2.16644, BitDefender: Gen:Variant.Kazy.787, AVAST4: Win32:Crypt-HSZ [Drp] )
- \\\\?\\globalroot\\systemroot\\system32\\ntfs_ext7 .exe - Backdoor.Win32.Shiz.auj ( DrWEB: Trojan.Packed.19720, BitDefender: Gen:Variant.Rimecud.1, AVAST4: Win32:Malware-gen )
Уважаемый(ая) trydrv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.