wuauclt.exe и svchost.exe

Printable View

14.08.2010, 13:54
Hetman-SVM

wuauclt.exe и svchost.exe

Здравствуйте, в начале работы компа начинает виснуть, грузит систему wuauclt.exe и svchost.exe, при входе в експлорер вся страница скачет и висит, прошу помочь.
14.08.2010, 16:09
olejah

А логи АВЗ снять можете?
14.08.2010, 19:01
Hetman-SVM

Отправляю логи согласно правилам

Отправляю логи согласно правилам
14.08.2010, 19:13
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('fips32cup');
DeleteService('ethjcdfw');
DeleteService('ati6bgxx');
DeleteService('sysrest.sys');
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0yexx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethjcdfw.sys','');
QuarantineFile('C:\SysFiles\aAsuMYfH371wcw8p.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\ccda_v8.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\ccda_v8.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ethjcdfw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\sysrest.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6bgxx.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','NTFS_ext_drv');
BC_DeleteSvc('ethjcdfw');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('sysrest.sys');
BC_DeleteSvc('ati6bgxx');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи

- После лечения рекомендую сменить пароли
14.08.2010, 20:59
Hetman-SVM

логи после лечения
14.08.2010, 21:10
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL], посмотрим может ещё чего осталось. Сейчас что с проблемой?
15.08.2010, 20:34
Hetman-SVM

Сделал скан в Malwarebytes

Сейчас комп работает норм, не висит. Сделал скан в Malwarebytes, прошу посмотреть.
15.08.2010, 20:44
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\i386si (SpamTool.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ksi32sk (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{144bf6cb-63fe-f109-6124-d1a358d123de} (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{144bf6cb-63fe-f109-6124-d1a358d123de} (Adware.AdRotator) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\myid (Malware.Trace) -> No action taken.

Зараженные папки:
C:\Documents and Settings\Vitali\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\msvcrt2.dll (Malware.Traces) -> No action taken.
C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\svhost.exe (Trojan.Agent) -> No action taken.[/CODE]

- Повторите лог МВАМ
17.08.2010, 17:05
Hetman-SVM

[QUOTE=Olejah]

- Повторите лог МВАМ[/QUOTE]
Отправляю новый лог
17.08.2010, 17:07
olejah

Удалите в МВАМ -

[CODE]Зараженные файлы:
C:\Documents and Settings\Vitali\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.[/CODE]

- Что с проблемой?
17.08.2010, 17:56
Hetman-SVM

Спасибо за оперативную помощь) вроде все ок)
17.08.2010, 19:47
olejah

Обновите C:\Program Files\Adobe\Acrobat [B]7.0[/B] с официального сайта
22.08.2010, 14:48
Hetman-SVM

Брат, снова висит, нового ничего не ловил, по первичным признакам, те же проблемы((( В диспетчере скачет svchost, а быстродействие системы на 99%, через час комп как бы норм, но при новой загрузке траблы, аа..
22.08.2010, 14:52
olejah

Логи-логи-логи...;) Нужны новые.
23.08.2010, 14:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]