Показано с 1 по 17 из 17.

Проблемы с userini,wpv,svchost-service (заявка № 91403)

  1. #1
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    23

    Проблемы с userini,wpv,svchost-service

    1) При выборе пользователя компьютер перезагружается.
    2) Очень медленно загружаются сайты в браузерах.
    3) Многочисленные процесы svchost.exe.При попытке выбора Свойств Моего компьютера(для отключения востановления системы),выскакивает ошибка service.exe и перезагружается компьютер.
    Судя по ранеесозданным темам форума,эти 3 проблемы взаимосвязаны.Прошу помочь с правильной очередью решения даных проблем.
    Последний раз редактировалось Perss; 09.11.2010 в 22:50.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524

  4. #3
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    23
    После внимательного прочтения и загрузки инструментов,возникла проблема с пунктом "5. Отключите восстановление системы (см. Приложение 1)." При попытке выбора Свойств Моего компьютера(для отключения восстановления системы),выскакивает ошибка service.exe и таймер до перезагрузки компьютера.

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Пропустите этот пункт и выполняйте дальше
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    23
    После лечения CureIt! в безопасном режиме,было найдено несколько вредоносных файлов которые в последствии были вылечены.Больше не наблюдается перезагрузки при выборе пользователя или торможения трафика.Однако проблема с входом в Свойста Моего компьютера осталась.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Логи где?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    23
    Цитата Сообщение от thyrex Посмотреть сообщение
    Логи где?
    В процессе,появилась проблема внезапной перезагрузки компьютера и зависания робочей области экрана,не реагирующей на любые действия,что в свою очередь затрудняет выполнение указанной диагностики.

    p.s. Однако проблема со входом в Свойстава Моего компьютера пропала сама собой.
    Вложения Вложения
    Последний раз редактировалось Perss; 11.11.2010 в 17:16.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1.Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - (no file)
    O3 - Toolbar: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - (no file)
    2. Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\ppp\APPLIC~1\WebMoney\UPLWIN~1\msftldr.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\Drivers\atapidrv.sys','');
     DeleteFile('C:\WINDOWS.0\system32\Drivers\atapidrv.sys');
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    23
    Логи после выполнения вышеуказанных действий.
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Отключите Системное восстановление!!! как- посмотреть можно тут
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll','');
     DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     DeleteService('XDva349');
     DeleteService('XDva332');
     QuarantineFile('C:\WINDOWS.0\system32\Drivers\NDIS.sys','');
     DeleteFile('C:\WINDOWS.0\system32\XDva332.sys');
     DeleteFile('C:\WINDOWS.0\system32\XDva349.sys');
     DeleteFile('C:\DOCUME~1\ppp\APPLIC~1\WebMoney\UPLWIN~1\msftldr.dll');
     DeleteFile('C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll');
     DeleteFile('C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msfteml.dll');
     QuarantineFile('C:\WINDOWS.0\system32\comsats.sys','');
     QuarantineFile('C:\WINDOWS.0\userinit.exe','');
     QuarantineFile('C:\WINDOWS.0\Explorer.exe:userini.exe','');
     QuarantineFile('D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225681.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\ipsecndis.sys','');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - удалите в MBAM
    Код:
    Зараженные модули в памяти:
    C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msfteml.dll (Spam.Bot) -> No action taken.
    C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll (Trojan.Proxy) -> No action taken.
    
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67xor2b0-3gmc-89vv-jij1-24kl2r3251431} (Worm.AutoRun) -> No action taken.
    HKEY_CURRENT_USER\Software\MSoftware (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    (Вредоносных программ не обнаружено)
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
    C:\MEMORY\S-v-6-2009 (Trojan.Buzus) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msfteml.dll (Spam.Bot) -> No action taken.
    C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll (Trojan.Proxy) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HNNZINTZ\wvlbu[1].png (Extension.Mismatch) -> No action taken.
    C:\Documents and Settings\Администратор\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> No action taken.
    C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225620.exe (Malware.Packer.Gen) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225625.exe (Malware.Packer.Gen) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225681.exe (Trojan.Agent.CK) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225687.exe (Adware.TMAagent) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225688.dll (Adware.TMAagent) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225689.dll (Adware.TMAagent) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225691.exe (Adware.TMAagent) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP47\A0313354.exe (Trojan.Armin) -> No action taken.
    C:\MEMORY\S-v-6-2009\Desktop.ini (Trojan.Buzus) -> No action taken.
    C:\Documents and Settings\All Users.WINDOWS.0\Application Data\common.data (Malware.Trace) -> No action taken.
    C:\Documents and Settings\ppp\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
    C:\WINDOWS.0\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.
    C:\WINDOWS.0\system32\service.sys (Rootkit.Agent) -> No action taken.
    C:\WINDOWS.0\Explorer.exe:userini.exe (Rootkit.ADS) -> No action taken.
    C:\WINDOWS.0\Prefetch\EXPLORER.EXE (Trojan.Agent) -> No action taken.
    C:\WINDOWS.0\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
    - Замените файл C:\WINDOWS.0\system32\Drivers\NDIS.sys на чистый из дистрибутива.
    - Сделайте повторный лог virusinfo_syscheck.zip;

  12. #11
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    23
    Отключить Системное восстановление неполучается.Выскакивает ошибка,скрин прикреплен.
    Изображения Изображения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    пропустите этот пункт

  14. #13
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    23
    Скрипты выполнены,файлы отправлены и прикреплены.Возникает проблема с заменой файла C:\WINDOWS.0\system32\Drivers\NDIS.sys
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось Perss; 12.11.2010 в 15:43.

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Цитата Сообщение от Perss Посмотреть сообщение
    Возникает проблема с заменой файла
    Заменять нужно с консоли восстановления или с Live CD
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    23
    Все выполнено и успешно функционирует.Осталась лиш проблема с невозможностью отключения восстановления системы,но это мелочи.Спасибо за дельные советы.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Perss Посмотреть сообщение
    Осталась лиш проблема с невозможностью отключения восстановления системы
    Попробуйте такой скрипт:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    SetServiceStart('srservice', 2);
    RebootWindows(true); 
    end.
    Должно помочь.

    Рекомендуется установить SP3 и последующие обновления.
    I am not young enough to know everything...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,507
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 23
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\ppp\\application data\\webmoney\\uplwinvcl79\\msftcore.dll - Backdoor.Win32.Agent.bbor ( DrWEB: BackDoor.Msft.1, BitDefender: Backdoor.Generic.518040, NOD32: Win32/Agent.RPY trojan, AVAST4: Win32:Malware-gen )
      2. c:\\windows.0\\system32\\drivers\\atapidrv.sys - Packed.Win32.Krap.if ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Trojan.Generic.5893333 )
      3. c:\\windows.0\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )


  • Уважаемый(ая) Perss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. рассылка спама через svchost.exe/userini.exe
      От sega_kiev в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.08.2010, 10:10
    2. Userini.exe, svchost.exe загружают процессор
      От andrew_f1 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.05.2010, 01:26
    3. userini.exe. проблемы с експлорером
      От D@NG3r в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 23.03.2010, 23:29
    4. проблемы с userini.exe
      От OMmG в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.01.2010, 23:48
    5. svchost.exe NETWORK SERVICE 100%-что делать?
      От Sent1nel в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 25.02.2006, 13:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00929 seconds with 23 queries