Процесс svchost.exe грузит систему

Printable View

23.06.2010, 15:49
RamTech

Процесс svchost.exe грузит систему

Процесс svchost.exe грузит систему на 50 - 100 процентов. Сканировал в безопасном режиме но бесполезно. Грузить систему начинает только после включения интернета.
23.06.2010, 18:14
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\User2\Главное меню\Программы\Автозагрузка\siszpe32.exe','');
QuarantineFile('C:\Program Files\Bifrost\server.exe','');
QuarantineFile('C:\op.exe','');
QuarantineFile('C:\WINDOWS\system32\XDva326.sys','');
DeleteService('XDva326');
DeleteFile('C:\WINDOWS\system32\XDva326.sys');
DeleteFile('C:\Documents and Settings\User2\Главное меню\Программы\Автозагрузка\siszpe32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
23.06.2010, 19:48
RamTech

Warning
Gmer has found system modification root kit.
Произошло сканирование.
Вот логи
23.06.2010, 21:31
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service xwloh
gmer.exe -del file "C:\WINDOWS\system32\spszc.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xwloh"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xwloh"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

Сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
24.06.2010, 07:44
RamTech

Сделал лог Gmer теперь без предупреждения запускается.
ComboFix несколько раз перезагружал компьютер с различными предупреждениями.Вроде svchost не грузит систему уже.
24.06.2010, 11:25
thyrex

Панель управления - Брандмауэр Windows
Зайдите в его исключения и удалите порт "[B]8562[/B]:TCP"= 8562:TCP:*:Disabled:gtdofv

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\XDva332.sys

Driver::
XDva332

NetSvc::
xwloh

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
24.06.2010, 12:07
RamTech

Удалил порт хм... (интересно как он туда прописался)
Вот новый лог
24.06.2010, 13:08
thyrex

[QUOTE='RamTech;659836']интересно как он туда прописался[/QUOTE]Это Кидо постарался для себя лазейку открыть :)

Порядок

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Больше плохого не видно
24.06.2010, 13:15
RamTech

Большое спасибо.
Очень признателен. ComboFix серьезная прога сам бы не разорбрался.
:D
25.06.2010, 13:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]