svchost.exe и прочее

Симптомы: в диспетчере задач висит процесс svchost.exe и загружает процессор не менее чем на 50%. Антивирус умер, стоял доктор веб, базы были неактуальны. При попытке переустановки антивируса (пробовал доктор веб и касперский) выдается ошибка и установка прекращается (установка не может скопировать файлы с расширением *.avz). При запуске проверки CureIT выходит BSOD и система перезагружается. При распаковке AVZ, скачанной по ссылке с вашего сайта, так же не распаковываются фалы с расирением *.avz. Распаковал архив на флэшку на другом компьютере, запускаю программу на зараженном. Сначала выходит ошибка "не могу прочитать файл. Недостаточно квот для выполнения операции", файл так же с расширением *.avz. После закрытия этой ошибки прога запускается, но с корявыми шрифтами и сразу вылезает куча ошибок Access violation. В проге сделать ничего нельзя. Переименование исполняемого фалйа результатов не дает. HiJackThis запустился, лог прикладываю.

ps. Зараженный компьютер - ноутбук, винт не получится подрубить к другому компу для проверки. Все операции были повторены так же в безропасном режиме с теми же результатами

обещанное вложение...

pingpong.pif - переименованный спец. AVZ [url]http://rapidshare.com/files/116949749/pingpong.pif.html[/url]

Сделайте логи им.

Какой результат? Вы его скачали и запустили? Эта версия не в архиве и у нее нет файлов *.avz

[quote=kps;259972]Какой результат? Вы его скачали и запустили? Эта версия не в архиве и у нее нет файлов *.avz[/quote]


Прошу прощения. Программа запустилась, идет сканирование... Скоро выложу результаты

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

Программа запустилась, обновление баз было недоступно. База поcледний раз обновлялась 23.04.2008. Скрипт смог прогнать только после того, как запустил AVZGuard, без этого система сваливалась в BSOD.

логи...

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url] (pingpong.pif) :
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\enzo_matrix\cmanger.exe','');
QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\HPDFlt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\HPSenMgr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\MLowCtl.sys','');
QuarantineFile('C:\WINDOWS\system32\fsxxd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ewj59.sys','');
QuarantineFile('C:\WINDOWS\system32\ATGINA.DLL','');
QuarantineFile('C:\WINDOWS\System32\lstream.dll','');
QuarantineFile('c:\windows\system32\userinit.exe','');
DeleteFile('C:\WINDOWS\System32\lstream.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Ewj59.sys');
DeleteFile('C:\WINDOWS\system32\fsxxd.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('fsxxd');
BC_DeleteSvc('Ewj59');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=27112[/url] ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

Новые логи. Компьютер уже заметно стабильнее и быстрее начал работать

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\lstream.dll');
DelWinlogonNotifyByKeyName('lstream');
BC_ImportDeletedList;
SysCleanAddFile('C:\Documents and Settings\enzo_matrix\cmanger.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

c:\windows\system32\[B]userinit.exe[/B] - этот системный файл у Вас подменен зловредом. [B]Обязательно замените[/B] его на чистый из дистрибутива или с другой чистой системы (замену лучше проводить из консоли восстановления).

Программу FolderLock Вы устанавливали?

Такой большой файл Hosts Вам нужен? В нем много записей - его можно почистить.

Вот это Вам знакомо?:
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{E173560B-34E8-49A3-9E30-8E3E58F60D55}: NameServer = 83.174.193.227,83.174.192.227[/code]
Если незнакомо, то [url=http://virusinfo.info/showthread.php?t=4491]пофиксите в HijackThis[/url] эту строчку.

Сделайте новые логи.

FolderLock сам ставил, ип адреса -адреса днс серверов провайдера. userinint за что отвечает? Не за экран выбора пользователей при загрузке винды? просто он изменился после установки одного из драйверов. Про файл Hosts тоже не понятно мне, где его настраивать? Не про файл подкачки вы говорите? логи утром выложу...

userinit.exe - системный файл, необходимый для загрузки системы. У Вас он подменен зловредом. Это не предположение, а факт - я его проверил.
Поэтому замените его на чистый, как я написал.

Про файл Hosts можете почитать здесь [url]http://virusinfo.info/showthread.php?t=1328[/url]

вобщем вот какая ситуация получилась. я запустил ваш последний скрипт, поставил доктор веб (он нормально установился и скачал последние базы, чего до этого сделать не получалось). Перезагрузил компьютер. После выбора пользователя начинается загрузка системы, и тут же идет завершение сеанса и система возвращается к выбору пользователя. То же самое и при загрузке в безопасном режиме. Попробовал прогнать установку windows в режиме восстановления, результатов это не дало. Пишу сейчас с другого компьютера, на том сейчас нельзя работать никак, только из командной строки если. Подскажите, что делать...

Я же Вам говорил, замените userinit.exe на чистый. Вы этого не сделали. Вот и пожинаете теперь плоды.. ДрВеб его удалил, потому что это зловред, но не заменил (антивирус - это не искуственный интеллект), вот у Вас теперь и проблема.

Решение проблемы: зайдите в консоль восстановления или загрузитесь с загрузочного диска типа BartPE и положите чистый (из дистрибутива или с чистой системы) файл userinit.exe в папку c:\windows\system32\

[QUOTE=timur_nagimov;260214]доктор веб (он нормально установился и скачал последние базы, чего до этого сделать не получалось). [/QUOTE] А кто базы АВЗ обновлять будет?
[B][COLOR="Red"]Внимание !!! База поcледний раз обновлялась [SIZE="4"]23.04.2008[/SIZE] необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/COLOR][/B]
Сегодня м.п. [SIZE="4"]27.07.2008[/SIZE]

[QUOTE=Rene-gad;260229]А кто базы АВЗ обновлять будет? [/QUOTE]
Там базы не обновляются - полиморфная версия :)

Сори... Самодеятельностью решил заняться блин... Заменил userinit.exe, компьютер загрузился.

последние логи...

еще один файл, не тот грузил...

В логах ничего подозрительного.
Я бы почистил файл Hosts таким скриптом в AVZ:
[code]begin
ClearHostsFile;
end.
[/code]

И еще отключите на всякий случай восстановление системы, чтобы удалить возможные копии зловредов и снова включите.
Какие-то проблемы остались?

Файл hosts почистил, там куча адресов были завязаны на 127.0.0.1, в том числе сайты каспесркого и микрософта. На данный момент компьютер работает стабильно, антивирус стоит и обновляется. Большое спасибо за помощь. желаю вам по-меньше таких вот как я шибко самостоятельных юзеров:)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]34[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\isi32.exe - [B]Trojan.Win32.Pakes.jzm[/B] (DrWEB: Trojan.Packed.162)[*] c:\\windows\\system32\\drivers\\ewj59.sys - [B]Rootkit.Win32.Qandr.gm[/B] (DrWEB: Trojan.Spambot.3201)[*] c:\\windows\\system32\\lstream.dll - [B]Trojan-Spy.Win32.Goldun.aob[/B] (DrWEB: Trojan.PWS.GoldSpy.origin)[*] c:\\windows\\system32\\userinit.exe - [B]Packed.Win32.Klone.av[/B] (DrWEB: Trojan.DownLoad.1126)[/LIST][/LIST]