Помогите пожалуйста вычистить систему от вирусов. Какой-то вирус обрубает инет, появляется ошибка svchost и ошибка spool. Высылаю отчёты.
Не могу из-за этого скачать Service pack 3.
Printable View
Помогите пожалуйста вычистить систему от вирусов. Какой-то вирус обрубает инет, появляется ошибка svchost и ошибка spool. Высылаю отчёты.
Не могу из-за этого скачать Service pack 3.
Логи сделаны старой версией AVZ. Доступна 4.34. Скачайте и переделайте
Выслал новые логи
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('SqlDebuger');
StopService('ba');
StopService('MSNETService');
StopService('NrConnmags');
StopService('vsd');
StopService('u7t');
DeleteService('vsd');
DeleteService('u7t');
DeleteService('NrConnmags');
DeleteService('MSNETService');
DeleteService('ba');
DeleteService('SqlDebuger');
QuarantineFile('C:\WINDOWS\system32\sqlserv.exe','');
QuarantineFile('C:\WINDOWS\system32\Service.exe','');
QuarantineFile('C:\WINDOWS\system32\abynnnqj.exe','');
QuarantineFile('C:\WINDOWS\system\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\YISIJFVY\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\M3AOWQQP\E001.exe','');
QuarantineFile('C:\WINDOWS\System32\sopasclib.dll','');
QuarantineFile('c:\windows\system32\sopasvstart.dll','');
DeleteFile('C:\WINDOWS\system32\M3AOWQQP\E001.exe');
DeleteFile('C:\WINDOWS\system32\YISIJFVY\J001.exe');
DeleteFile('C:\WINDOWS\system\csrss.exe');
DeleteFile('C:\WINDOWS\system32\abynnnqj.exe');
DeleteFile('C:\WINDOWS\system32\Service.exe');
DeleteFile('C:\WINDOWS\system32\sqlserv.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карнатин" над первым сообщением темы)
Сделайте новые логи
Карантин и логи выслал.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\All Users\DRM\Console\bofup.cc3','');
DeleteFile('c:\windows\system32\sopasvstart.dll');
DeleteFile('C:\WINDOWS\system32\sopasvstart.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SopSrv\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Экспортируйте содержимое веток (на этом ключе правой клавишей мыши - экспортировать)
[QUOTE][HKLM\SYSTEM\CurrentControlSet\Services\BITS]
[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv][/QUOTE]
в отдельные файлы и прикрепите их к сообщению
При попытке загрузки quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы появляется сообщение:
Ошибка загрузки. Данный файл уже был загружен
делайте остальное из сообщения №6
Экспортированные ветки реестра заархивировал так как не могу прикрепить файлы с расширением reg
кнопка Пуск - Выполнить - [B]regedit[/B], откроется редактор реестра
Зайдите в ветку
[QUOTE][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost][/QUOTE]
и удалите параметр SopSrv
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[CODE]
KillAll::
File::
c:\temp\Server.exe
c:\temp\Service.exe
c:\windows\system32\sopasclib.dll
Driver::
Folder::
c:\windows\system32\YILXA4EU
c:\windows\system32\TOIJH08Q
c:\windows\system32\HBWN1ZF2
c:\windows\system32\EWID0TNZ
c:\windows\system32\AREUB6Z2
c:\windows\system32\TGIIMDY7
c:\windows\system32\L5WO5IX3
c:\windows\system32\K6KOAHGE
c:\windows\system32\FQC1DI5C
c:\windows\system32\CYJTD656
c:\windows\system32\8J2GAXZR
c:\windows\system32\2OCOQ7DQ
c:\windows\system32\1TB8J02H
c:\windows\system32\ZUBVWF4U
c:\windows\system32\X3INW34O
c:\windows\system32\1VCJNVTX
c:\windows\system32\W7DXB4GH
c:\windows\system32\RKECYF31
c:\windows\system32\P4N1E8KS
c:\windows\system32\M3AOWQQP
c:\windows\system32\YISIJFVY
c:\windows\system32\LVLZOYPH
c:\windows\system32\K82CT02D
c:\windows\system32\K7Y54GYG
c:\windows\system32\5R5TN352
c:\windows\system32\YP2IZ5R6
c:\windows\system32\XAAEDWHG
c:\windows\system32\t
Registry::
FileLook::
c:\windows\system32\wayic.dll
c:\windows\system32\wayi.exe
DirLook::[/CODE]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
внесите данные в реестр, предварительно распаковав файлы во вложении
Сделал
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\wayic.dll','');
QuarantineFile('c:\windows\system32\wayi.exe','');
QuarantineFile('c:\windows\system32\drivers\tcpip.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
Файл quarantine.zip загрузил
что с проблемой?
svchost.exe - Ошибка приложения появилась через 3 минуты работы в интернете. Интернет не работает.
[size="1"][color="#666686"][B][I]Добавлено через 53 минуты[/I][/B][/color][/size]
Spool.exe - тоже появляется. Интернет отключается через 3-5минут. Я не успеваю скачать сервис пак 3. Уже весь трафик потратил...
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
Есть ещё идеи? Очень жду!
Пришлите файл Spool.exe запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
- Сделайте повторные логи virusinfo_syscure.zip hijackthis.log
Ещё закачал xsvr85.exe@ - он тоже вызывает ошибку. При ошибке спул интернет не отключается, только при свхост ошибке пропадает связь.
Выслал логи
Ещё что-то нашли?
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
Те же самые вирусы отлавливает нод32, что и до скриптов...мда...