-
Junior Member
- Вес репутации
- 49
Проблемы с userini,wpv,svchost-service
1) При выборе пользователя компьютер перезагружается.
2) Очень медленно загружаются сайты в браузерах.
3) Многочисленные процесы svchost.exe.При попытке выбора Свойств Моего компьютера(для отключения востановления системы),выскакивает ошибка service.exe и перезагружается компьютер.
Судя по ранеесозданным темам форума,эти 3 проблемы взаимосвязаны.Прошу помочь с правильной очередью решения даных проблем.
Последний раз редактировалось Perss; 09.11.2010 в 22:50.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
polword
После внимательного прочтения и загрузки инструментов,возникла проблема с пунктом "5. Отключите восстановление системы (см. Приложение 1)." При попытке выбора Свойств Моего компьютера(для отключения восстановления системы),выскакивает ошибка service.exe и таймер до перезагрузки компьютера.
-
Пропустите этот пункт и выполняйте дальше
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
После лечения CureIt! в безопасном режиме,было найдено несколько вредоносных файлов которые в последствии были вылечены.Больше не наблюдается перезагрузки при выборе пользователя или торможения трафика.Однако проблема с входом в Свойста Моего компьютера осталась.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
thyrex
Логи где?
В процессе,появилась проблема внезапной перезагрузки компьютера и зависания робочей области экрана,не реагирующей на любые действия,что в свою очередь затрудняет выполнение указанной диагностики.
p.s. Однако проблема со входом в Свойстава Моего компьютера пропала сама собой.
Последний раз редактировалось Perss; 11.11.2010 в 17:16.
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - (no file)
O3 - Toolbar: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - (no file)
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\ppp\APPLIC~1\WebMoney\UPLWIN~1\msftldr.dll','');
QuarantineFile('C:\WINDOWS.0\system32\Drivers\atapidrv.sys','');
DeleteFile('C:\WINDOWS.0\system32\Drivers\atapidrv.sys');
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 49
Логи после выполнения вышеуказанных действий.
-
Отключите Системное восстановление!!! как- посмотреть можно тут
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll','');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteService('XDva349');
DeleteService('XDva332');
QuarantineFile('C:\WINDOWS.0\system32\Drivers\NDIS.sys','');
DeleteFile('C:\WINDOWS.0\system32\XDva332.sys');
DeleteFile('C:\WINDOWS.0\system32\XDva349.sys');
DeleteFile('C:\DOCUME~1\ppp\APPLIC~1\WebMoney\UPLWIN~1\msftldr.dll');
DeleteFile('C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll');
DeleteFile('C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msfteml.dll');
QuarantineFile('C:\WINDOWS.0\system32\comsats.sys','');
QuarantineFile('C:\WINDOWS.0\userinit.exe','');
QuarantineFile('C:\WINDOWS.0\Explorer.exe:userini.exe','');
QuarantineFile('D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225681.exe','');
QuarantineFile('C:\WINDOWS.0\system32\ipsecndis.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- удалите в MBAM
Код:
Зараженные модули в памяти:
C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msfteml.dll (Spam.Bot) -> No action taken.
C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll (Trojan.Proxy) -> No action taken.
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67xor2b0-3gmc-89vv-jij1-24kl2r3251431} (Worm.AutoRun) -> No action taken.
HKEY_CURRENT_USER\Software\MSoftware (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные папки:
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
C:\MEMORY\S-v-6-2009 (Trojan.Buzus) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msfteml.dll (Spam.Bot) -> No action taken.
C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll (Trojan.Proxy) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HNNZINTZ\wvlbu[1].png (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225620.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225625.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225681.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225687.exe (Adware.TMAagent) -> No action taken.
D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225688.dll (Adware.TMAagent) -> No action taken.
D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225689.dll (Adware.TMAagent) -> No action taken.
D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225691.exe (Adware.TMAagent) -> No action taken.
D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP47\A0313354.exe (Trojan.Armin) -> No action taken.
C:\MEMORY\S-v-6-2009\Desktop.ini (Trojan.Buzus) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS.0\Application Data\common.data (Malware.Trace) -> No action taken.
C:\Documents and Settings\ppp\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\WINDOWS.0\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS.0\system32\service.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS.0\Explorer.exe:userini.exe (Rootkit.ADS) -> No action taken.
C:\WINDOWS.0\Prefetch\EXPLORER.EXE (Trojan.Agent) -> No action taken.
C:\WINDOWS.0\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
- Замените файл C:\WINDOWS.0\system32\Drivers\NDIS.sys на чистый из дистрибутива.
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 49
Отключить Системное восстановление неполучается.Выскакивает ошибка,скрин прикреплен.
-
-
-
Junior Member
- Вес репутации
- 49
Скрипты выполнены,файлы отправлены и прикреплены.Возникает проблема с заменой файла C:\WINDOWS.0\system32\Drivers\NDIS.sys
Последний раз редактировалось Perss; 12.11.2010 в 15:43.
-
Сообщение от
Perss
Возникает проблема с заменой файла
Заменять нужно с консоли восстановления или с Live CD
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Все выполнено и успешно функционирует.Осталась лиш проблема с невозможностью отключения восстановления системы,но это мелочи.Спасибо за дельные советы.
-
Сообщение от
Perss
Осталась лиш проблема с невозможностью отключения восстановления системы
Попробуйте такой скрипт:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
SetServiceStart('srservice', 2);
RebootWindows(true);
end.
Должно помочь.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\ppp\\application data\\webmoney\\uplwinvcl79\\msftcore.dll - Backdoor.Win32.Agent.bbor ( DrWEB: BackDoor.Msft.1, BitDefender: Backdoor.Generic.518040, NOD32: Win32/Agent.RPY trojan, AVAST4: Win32:Malware-gen )
- c:\\windows.0\\system32\\drivers\\atapidrv.sys - Packed.Win32.Krap.if ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Trojan.Generic.5893333 )
- c:\\windows.0\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
-