Антивирус удалил svchost, загрузка процессора 100%

[VLDolph]

Антивирус удалил svchost, загрузка процессора 100%

[DefesT]

virusinfo_cure.zip - уберите из вложений!
где логи AVZ по правилам?

[VLDolph]

где логи AVZ по правилам?

выполнил оба скрипта пункты 1,2 правил, но avz создал только virusinfo_cure.zip

[DefesT]

в директории AVZ в папке "LOG" есть архивы virusinfo_syscure.zip и virusinfo_syscheck.zip?

[VLDolph]

в директории AVZ в папке "LOG" есть архивы virusinfo_syscure.zip и virusinfo_syscheck.zip?

нет, проверку делаю в безопасном режиме т.к. в нормальном очень сильно тормозит

[thyrex]

Сделайте лог полного сканирования МВАМ

[VLDolph]

не запускается выдает Run-timeerror 372
Failed to load control 'vbaGrid' from vbalsgrid6.ocx.Your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application

[polword]

- сделайте лог Combofix

[VLDolph]

лог combofix

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\program files\plugin.exe
c:\documents and settings\оля\Главное меню\Программы\Автозагрузка\wwwzuc32.exe
c:\windows\pss\wwwzuc32.exeStartup
c:\windows\system32\9209c920.exe
c:\windows\system32\jreqqe.exe
c:\windows\system32\a75fd87f.exe
c:\windows\system32\qojeap.exe
c:\windows\system32\drivers\jrofzers.sys
c:\windows\system32\winmcreg.exe
E:\udAewI.eXe

Driver::

NetSvc::

Folder::
c:\program files\Common Files\e89b68ba

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\plugin]
[-HKLM\~\startupfolder\C:^Documents and Settings^оля^Главное меню^Программы^Автозагрузка^wwwzuc32.exe]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kargiezq]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rzeumzmo]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tofofhcr]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xzerfnet]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\czuhqvrn]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\defxrkzs]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\fnfumggn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
- Восстановите файл c:\windows\System32\services.exe из дистрибутива.
- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

[VLDolph]

drag and drop не работает

[VLDolph]

логи

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS\system32\qojeap.exe','');
 QuarantineFile('C:\WINDOWS\system32\jreqqe.exe','');
 QuarantineFile('C:\WINDOWS\system32\a75fd87f.exe','');
 QuarantineFile('C:\WINDOWS\system32\9209c920.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\hqzumrqz.sys','');
 DeleteService('hqzumrqz');
 QuarantineFile('C:\WINDOWS\system32\drivers\mgnt.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\hqzumrqz.sys');
 DeleteFile('C:\WINDOWS\system32\9209c920.exe');
 DeleteFile('C:\WINDOWS\system32\a75fd87f.exe');
 DeleteFile('C:\WINDOWS\system32\jreqqe.exe');
 DeleteFile('C:\WINDOWS\system32\qojeap.exe');
 DeleteFile('C:\WINDOWS\temp\klsDFA4.tmp');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[VLDolph]

логи

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\XP-3A6EE676.EXE');
 RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk');
 RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^оля^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог RSIT

[VLDolph]

лог RSIT

[polword]

В логе подозрительного нет.

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения вредоносные программы в карантинах не обнаружены