Ошибка при запуске Windows. [svhost.exe, explorer.exe]

Printable View

19.03.2010, 09:22
Hammer

Ошибка при запуске Windows. [svhost.exe, explorer.exe]

Добрый день. При запуске Windows в последнее время стала появляться ошибка svhost.exe или explorer.exe.
19.03.2010, 10:28
DefesT

Здравствуйте
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Владимир\mvwassi.exe \s,C:\WINDOWS\system32\c178076d.exe,C:\WINDOWS\system32\b8b00e7d.exe,C:\WINDOWS\system32\c4230e7c.exe,C:\WINDOWS\system32\c90cc0bf.exe,C:\WINDOWS\system32\80c9f812.exe,C:\WINDOWS\system32\93a668a9.exe,C:\WINDOWS\system32\3cd8cf6.exe,C:\WINDOWS\system32\a7804159.exe,
O4 - Startup: monnid32.exe
O4 - Startup: winesm32.exe
O4 - Startup: monnwb32.exe
O4 - Startup: syspck32.exe
[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\networ~1.nta\locals~1\temp\~tm8c.tmp');
QuarantineFile('C:\WINDOWS\system32\c90cc0bf.exe','');
QuarantineFile('C:\WINDOWS\system32\c4230e7c.exe','');
QuarantineFile('C:\WINDOWS\system32\c178076d.exe','');
QuarantineFile('C:\WINDOWS\system32\b8b00e7d.exe','');
QuarantineFile('C:\WINDOWS\system32\a7804159.exe','');
QuarantineFile('C:\WINDOWS\system32\93a668a9.exe','');
QuarantineFile('C:\WINDOWS\system32\80c9f812.exe','');
QuarantineFile('C:\WINDOWS\system32\3cd8cf6.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\winesm32.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\syspck32.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\monnwb32.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\monnid32.exe','');
QuarantineFile('C:\Documents and Settings\Владимир\mvwassi.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\tuupmiwi.sys','');
BC_QrFile('C:\WINDOWS\system32\Drivers\tuupmiwi.sys');
QuarantineFile('c:\docume~1\networ~1.nta\locals~1\temp\~tm8c.tmp','');
DeleteFile('c:\docume~1\networ~1.nta\locals~1\temp\~tm8c.tmp');
DeleteFile('C:\Documents and Settings\Владимир\mvwassi.exe');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\monnid32.exe');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\monnwb32.exe');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\syspck32.exe');
DeleteFile('C:\Documents and Settings\Владимир\Главное меню\Программы\Автозагрузка\winesm32.exe');
DeleteFile('C:\WINDOWS\system32\3cd8cf6.exe');
DeleteFile('C:\WINDOWS\system32\80c9f812.exe');
DeleteFile('C:\WINDOWS\system32\93a668a9.exe');
DeleteFile('C:\WINDOWS\system32\a7804159.exe');
DeleteFile('C:\WINDOWS\system32\b8b00e7d.exe');
DeleteFile('C:\WINDOWS\system32\c178076d.exe');
DeleteFile('C:\WINDOWS\system32\c4230e7c.exe');
DeleteFile('C:\WINDOWS\system32\c90cc0bf.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
19.03.2010, 12:56
Hammer

Выполнил. Gmer почему-то зависает при сохранении лога..
19.03.2010, 14:28
DefesT

Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\tuupmiwi.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\tuupmiwi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Сделайте новый лог virusinfo_syscheck.zip + попробуйте лог gmer
19.03.2010, 15:13
thyrex

С Rootkit.Win32.Agent поможет только это

1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
2. Скопируйте [B]C:\WINDOWS\system32\Drivers\tuupmiwi.sys[/B] в другую папку и переименуйте
3. Удалите файл в исходном месте
4. Загрузитесь в нормальном режиме
5. Отключите временно антивирус
6. Запакуйте переименованный файл с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
7. Сделайте новые логи
20.03.2010, 15:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\владимир\главное меню\программы\автозагрузка\syspck32.exe - [B]Backdoor.Win32.Bredolab.djk[/B] ( DrWEB: Trojan.DownLoad1.46761, BitDefender: Backdoor.Agent.AANU, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\docume~1\networ~1.nta\locals~1\temp\~tm8c.tmp - [B]Trojan-Dropper.Win32.Agent.btqr[/B] ( DrWEB: Trojan.DownLoad1.34432, BitDefender: Trojan.Agent.AOXS, NOD32: Win32/Wigon.NM trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\a7804159.exe - [B]Trojan-Downloader.Win32.Mufanom.mqu[/B] ( DrWEB: Trojan.Packed.19855, BitDefender: Trojan.Generic.3232246, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-AO [Cryp] )[*] c:\windows\system32\b8b00e7d.exe - [B]Trojan-Dropper.Win32.Agent.btuc[/B] ( DrWEB: Trojan.Packed.19720, BitDefender: Rootkit.33359, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\c178076d.exe - [B]Trojan-Dropper.Win32.Agent.bmxb[/B] ( DrWEB: Trojan.Packed.19720, BitDefender: Trojan.Generic.3174880, NOD32: Win32/Spy.Shiz.NAH trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\c4230e7c.exe - [B]Trojan-Downloader.Win32.Mufanom.mqu[/B] ( DrWEB: Trojan.Packed.19855, BitDefender: Trojan.Generic.3232246, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-AO [Cryp] )[*] c:\windows\system32\c90cc0bf.exe - [B]Trojan-Downloader.Win32.Mufanom.mqu[/B] ( DrWEB: Trojan.Packed.19855, BitDefender: Trojan.Generic.3232246, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-AO [Cryp] )[*] c:\windows\system32\r_server.exe - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.22[/B][*] c:\windows\system32\3cd8cf6.exe - [B]Trojan-Downloader.Win32.Mufanom.mqu[/B] ( DrWEB: Trojan.Packed.19855, BitDefender: Trojan.Generic.3232246, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-AO [Cryp] )[*] c:\windows\system32\80c9f812.exe - [B]Trojan-Downloader.Win32.Mufanom.mqu[/B] ( DrWEB: Trojan.Packed.19855, BitDefender: Trojan.Generic.3232246, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-AO [Cryp] )[*] c:\windows\system32\93a668a9.exe - [B]Trojan-Downloader.Win32.Mufanom.mqu[/B] ( DrWEB: Trojan.Packed.19855, BitDefender: Trojan.Generic.3232246, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-AO [Cryp] )[/LIST][/LIST]