вылетает svchost.exe

Printable View

28.10.2009, 12:35
freecorn

вылетает svchost.exe

посмотрите логи, пожалуйста
28.10.2009, 13:48
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\ntmsevt','');
QuarantineFile('C:\WINDOWS\System32\lserver.exe','');
QuarantineFile('C:\WINDOWS\System32\ws03res.dll','');
QuarantineFile('C:\Documents and Settings\User.MANAGER-4\User.exe','');
QuarantineFile('C:\WINDOWS\system32\w03a2409.dll','');
DeleteFile('C:\Documents and Settings\User.MANAGER-4\User.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=58539[/url]).

Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
28.10.2009, 14:06
snifer67

Перед выполнением скрипта [B]Bratez[/B] [B],выключите восстановление системы[/B].
28.10.2009, 14:59
freecorn

карантин пустой, ибо
[CODE]
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\ntmsevt)[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Карантин с использованием прямого чтения - ошибка[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\ntmsevt)[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Карантин с использованием прямого чтения - ошибка[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\lserver.exe)[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Карантин с использованием прямого чтения - ошибка[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\lserver.exe)[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Карантин с использованием прямого чтения - ошибка[/COLOR][/SIZE]
[SIZE=2]Выполнен карантин файла C:\WINDOWS\System32\ws03res.dll[/SIZE]
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\User.MANAGER-4\User.exe)[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Карантин с использованием прямого чтения - ошибка[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\User.MANAGER-4\User.exe)[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Карантин с использованием прямого чтения - ошибка[/COLOR][/SIZE]
[/CODE]
логи жмера прилагаю
28.10.2009, 15:21
Bratez

Ну так ведь -
[QUOTE]Выполнен карантин файла C:\WINDOWS\System32\ws03res.dll[/QUOTE]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jxkkp.dll','');
DeleteFile('C:\WINDOWS\system32\jxkkp.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\gibmok');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\gibmok');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\gibmok\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\gibmok\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\gibmok');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\gibmok');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Повторите п.2 Диагностики и лог gmer.
28.10.2009, 15:40
freecorn

выполнил скрипт 2 раза.
второй без строки RebootWindows(true); (чтобы посмотреть ошибки) и с выключеным антивирусом.

[CODE]
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\jxkkp.dll)[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Карантин с использованием прямого чтения - ошибка[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\jxkkp.dll)[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Карантин с использованием прямого чтения - ошибка[/COLOR][/SIZE]
[SIZE=2]Удаление файла:C:\WINDOWS\system32\jxkkp.dll[/SIZE]
[SIZE=2][COLOR=#ff0000]>>>Для удаления файла C:\WINDOWS\system32\jxkkp.dll необходима перезагрузка[/COLOR][/SIZE]
[/CODE]

[QUOTE]
Ну так ведь -

[QUOTE]Выполнен карантин файла C:\WINDOWS\System32\ws03res.dll [/QUOTE]

[/QUOTE]
хоть и пишет что файл помещен в карантин - в карантине пусто :(
28.10.2009, 15:47
Bratez

Ну пусто так пусто.
Ждем логи.
28.10.2009, 16:56
freecorn

вот логи.
28.10.2009, 17:04
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\USER~1.MAN\LOCALS~1\Temp\fwriqpow.sys','');
DeleteFile('C:\DOCUME~1\USER~1.MAN\LOCALS~1\Temp\fwriqpow.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Повторите п.2 Диагностики.
28.10.2009, 17:23
freecorn

карантин опять же пуст.
хотя выдало, что файл
'C:\DOCUME~1\USER~1.MAN\LOCALS~1\Temp\fwriqpow.sys' удален
28.10.2009, 17:31
Bratez

Теперь чисто.
Восстановление таки отключите, для профилактики.
Потом можете включить обратно.