svchoct.exe

Printable View

18.10.2009, 15:12
ottto

Вложений: 1

svchoct.exe

при подключений сети выбивает ошибку! помогите!!
18.10.2009, 15:19
rubin

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')[/CODE]

базы avz нужно обновить и переделать логи
[QUOTE]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
18.10.2009, 16:16
ottto

[QUOTE='rubin;488334']базы avz нужно обновить и переделать логи[/QUOTE]

Сделал!!
18.10.2009, 16:24
rubin

Вот... другое дело, кое-что видно
Сделайте, пожалуйста, вот этот лог вдобавок:
[url]http://virusinfo.info/showthread.php?t=40118[/url]
18.10.2009, 16:57
ottto

[QUOTE='rubin;488380']Сделайте, пожалуйста, вот этот лог вдобавок:
[url]http://virusinfo.info/showthread.php?t=40118[/url][/QUOTE]

ЕСТЬ!!!
18.10.2009, 17:00
rubin

хм, какой-то он неполный... Вы точно так делали?
[QUOTE]После автоматической экспресс-проверки, отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например gmer.log и прикрепите лог к сообщению в Вашей теме.[/QUOTE]
18.10.2009, 17:04
ottto

[QUOTE='rubin;488403']хм, какой-то он неполный... Вы точно так делали?[/QUOTE]
Переделал сяс долже быть полным!!!
18.10.2009, 17:33
rubin

выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\hskfyixy.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\hxtbqws.sys','');
BC_ImportQuarantineList;
BC_QrSvc('hxtbqws');
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите по правилам.
Затем cохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del service hxtbqws
gmer.exe -del file "c:\windows\system32\drivers\hxtbqws.sys"
gmer.exe -del file "C:\WINDOWS\system32\hskfyixy.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hxtbqws"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hxtbqws"
gmer.exe -reboot[/code]
И запустите cleanup.bat
Компьютер перезагрузится

После перезагрузки повторите лог gmer и virusinfo_syscure
18.10.2009, 18:08
ottto

Все готово!!!
Заметил что вирусы с интеренета лезут НОД32 ловит атаки с других ип! с такимиже названиями как написано в скрипте!!!
\hskfyixy.dll
\hxtbqws.sys
18.10.2009, 18:18
rubin

пролечитесь и установите нужные обновления
[url]http://support.kaspersky.ru/faq/?qid=208636215[/url]
18.10.2009, 18:23
ottto

Спасибо. будем думать!
19.10.2009, 18:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] i:\autorun.inf - [B]Net-Worm.Win32.Kido.ir[/B] ( DrWEB: Win32.HLLW.Shadow, BitDefender: Worm.Autorun.VHG, AVAST4: BV:AutoRun-S [Wrm] )[/LIST][/LIST]