Показано с 1 по 17 из 17.

Проблемы с userini,wpv,svchost-service (заявка № 91403)

  1. #1
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    49

    Проблемы с userini,wpv,svchost-service

    1) При выборе пользователя компьютер перезагружается.
    2) Очень медленно загружаются сайты в браузерах.
    3) Многочисленные процесы svchost.exe.При попытке выбора Свойств Моего компьютера(для отключения востановления системы),выскакивает ошибка service.exe и перезагружается компьютер.
    Судя по ранеесозданным темам форума,эти 3 проблемы взаимосвязаны.Прошу помочь с правильной очередью решения даных проблем.
    Последний раз редактировалось Perss; 09.11.2010 в 22:50.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550

  4. #3
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    49
    После внимательного прочтения и загрузки инструментов,возникла проблема с пунктом "5. Отключите восстановление системы (см. Приложение 1)." При попытке выбора Свойств Моего компьютера(для отключения восстановления системы),выскакивает ошибка service.exe и таймер до перезагрузки компьютера.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пропустите этот пункт и выполняйте дальше
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    49
    После лечения CureIt! в безопасном режиме,было найдено несколько вредоносных файлов которые в последствии были вылечены.Больше не наблюдается перезагрузки при выборе пользователя или торможения трафика.Однако проблема с входом в Свойста Моего компьютера осталась.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Логи где?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    49
    Цитата Сообщение от thyrex Посмотреть сообщение
    Логи где?
    В процессе,появилась проблема внезапной перезагрузки компьютера и зависания робочей области экрана,не реагирующей на любые действия,что в свою очередь затрудняет выполнение указанной диагностики.

    p.s. Однако проблема со входом в Свойстава Моего компьютера пропала сама собой.
    Последний раз редактировалось Perss; 11.11.2010 в 17:16.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - (no file)
    O3 - Toolbar: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - (no file)
    2. Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\ppp\APPLIC~1\WebMoney\UPLWIN~1\msftldr.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\Drivers\atapidrv.sys','');
     DeleteFile('C:\WINDOWS.0\system32\Drivers\atapidrv.sys');
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    49
    Логи после выполнения вышеуказанных действий.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Отключите Системное восстановление!!! как- посмотреть можно тут
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll','');
     DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     DeleteService('XDva349');
     DeleteService('XDva332');
     QuarantineFile('C:\WINDOWS.0\system32\Drivers\NDIS.sys','');
     DeleteFile('C:\WINDOWS.0\system32\XDva332.sys');
     DeleteFile('C:\WINDOWS.0\system32\XDva349.sys');
     DeleteFile('C:\DOCUME~1\ppp\APPLIC~1\WebMoney\UPLWIN~1\msftldr.dll');
     DeleteFile('C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll');
     DeleteFile('C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msfteml.dll');
     QuarantineFile('C:\WINDOWS.0\system32\comsats.sys','');
     QuarantineFile('C:\WINDOWS.0\userinit.exe','');
     QuarantineFile('C:\WINDOWS.0\Explorer.exe:userini.exe','');
     QuarantineFile('D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225681.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\ipsecndis.sys','');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - удалите в MBAM
    Код:
    Зараженные модули в памяти:
    C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msfteml.dll (Spam.Bot) -> No action taken.
    C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll (Trojan.Proxy) -> No action taken.
    
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67xor2b0-3gmc-89vv-jij1-24kl2r3251431} (Worm.AutoRun) -> No action taken.
    HKEY_CURRENT_USER\Software\MSoftware (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    (Вредоносных программ не обнаружено)
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
    C:\MEMORY\S-v-6-2009 (Trojan.Buzus) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msfteml.dll (Spam.Bot) -> No action taken.
    C:\Documents and Settings\ppp\Application Data\WebMoney\uplwinvcl79\msftcore.dll (Trojan.Proxy) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HNNZINTZ\wvlbu[1].png (Extension.Mismatch) -> No action taken.
    C:\Documents and Settings\Администратор\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> No action taken.
    C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225620.exe (Malware.Packer.Gen) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225625.exe (Malware.Packer.Gen) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225681.exe (Trojan.Agent.CK) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225687.exe (Adware.TMAagent) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225688.dll (Adware.TMAagent) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225689.dll (Adware.TMAagent) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP39\A0225691.exe (Adware.TMAagent) -> No action taken.
    D:\System Volume Information\_restore{32A48015-262B-444D-9064-E9EE623CB6EB}\RP47\A0313354.exe (Trojan.Armin) -> No action taken.
    C:\MEMORY\S-v-6-2009\Desktop.ini (Trojan.Buzus) -> No action taken.
    C:\Documents and Settings\All Users.WINDOWS.0\Application Data\common.data (Malware.Trace) -> No action taken.
    C:\Documents and Settings\ppp\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
    C:\WINDOWS.0\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.
    C:\WINDOWS.0\system32\service.sys (Rootkit.Agent) -> No action taken.
    C:\WINDOWS.0\Explorer.exe:userini.exe (Rootkit.ADS) -> No action taken.
    C:\WINDOWS.0\Prefetch\EXPLORER.EXE (Trojan.Agent) -> No action taken.
    C:\WINDOWS.0\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
    - Замените файл C:\WINDOWS.0\system32\Drivers\NDIS.sys на чистый из дистрибутива.
    - Сделайте повторный лог virusinfo_syscheck.zip;

  12. #11
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    49
    Отключить Системное восстановление неполучается.Выскакивает ошибка,скрин прикреплен.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    пропустите этот пункт

  14. #13
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    49
    Скрипты выполнены,файлы отправлены и прикреплены.Возникает проблема с заменой файла C:\WINDOWS.0\system32\Drivers\NDIS.sys
    Последний раз редактировалось Perss; 12.11.2010 в 15:43.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Perss Посмотреть сообщение
    Возникает проблема с заменой файла
    Заменять нужно с консоли восстановления или с Live CD
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    8
    Вес репутации
    49
    Все выполнено и успешно функционирует.Осталась лиш проблема с невозможностью отключения восстановления системы,но это мелочи.Спасибо за дельные советы.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Perss Посмотреть сообщение
    Осталась лиш проблема с невозможностью отключения восстановления системы
    Попробуйте такой скрипт:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    SetServiceStart('srservice', 2);
    RebootWindows(true); 
    end.
    Должно помочь.

    Рекомендуется установить SP3 и последующие обновления.
    I am not young enough to know everything...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 23
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\ppp\\application data\\webmoney\\uplwinvcl79\\msftcore.dll - Backdoor.Win32.Agent.bbor ( DrWEB: BackDoor.Msft.1, BitDefender: Backdoor.Generic.518040, NOD32: Win32/Agent.RPY trojan, AVAST4: Win32:Malware-gen )
      2. c:\\windows.0\\system32\\drivers\\atapidrv.sys - Packed.Win32.Krap.if ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Trojan.Generic.5893333 )
      3. c:\\windows.0\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )


  • Уважаемый(ая) Perss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. рассылка спама через svchost.exe/userini.exe
      От sega_kiev в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.08.2010, 10:10
    2. Userini.exe, svchost.exe загружают процессор
      От andrew_f1 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.05.2010, 01:26
    3. userini.exe. проблемы с експлорером
      От D@NG3r в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 23.03.2010, 23:29
    4. проблемы с userini.exe
      От OMmG в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.01.2010, 23:48
    5. svchost.exe NETWORK SERVICE 100%-что делать?
      От Sent1nel в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 25.02.2006, 13:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01353 seconds with 19 queries