Всё время выскакивает ошибка svchost.exe, когда начинаю выполнять скрипт карантина для помогите, то выскакивает ошибка services.exe и перезагружается компьютер, так что одного лога нету, помогите решить и эту проблему.
Printable View
Всё время выскакивает ошибка svchost.exe, когда начинаю выполнять скрипт карантина для помогите, то выскакивает ошибка services.exe и перезагружается компьютер, так что одного лога нету, помогите решить и эту проблему.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\toeeap.exe');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\geurge.exe');
QuarantineFile('C:\WINDOWS\system32\winkey.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\ACD Systems\crtwincrt12\msfttcp.dll','');
QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\yjsagnr.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\toeeap.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\geurge.exe','');
QuarantineFile('srservice.sys','');
DeleteService('srservice');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\afd.sys','');
QuarantineFile('C:\WINDOWS\system32\msmrxgok.dll','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\yjsagnr.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\toeeap.exe','');
QuarantineFile('c:\windows\svc2.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\geurge.exe','');
QuarantineFile('c:\program files\game accelerator\gamexl.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\geurge.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\toeeap.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\yjsagnr.exe');
DeleteFile('C:\WINDOWS\system32\msmrxgok.dll');
DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
DeleteFile('srservice.sys');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\geurge.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\toeeap.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\yjsagnr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','0q6l4');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1t93ty');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ewrgetuj');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\ACDSYS~1\CRTWIN~1\msftldr.dll','');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
В диспетчере задач появились 3 новых задачи: IEXPLORE.exe выполняющий ("C:\Program Files\Internet Explorer\IEXPLORE.EXE" -Embedding) и запущеный от admin хотя я его не запускал, очень подозрительный процесс klwtblfs.exe выполняющий ("C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe" -Embedding) запущенный от admin, и опять много svchost.exe запущенных от SYSTEM, есть только один запущенный от LOCAL SERVICE и два от NETWORK SERVICE. И еще подозрительный SputnikFlashPLayer который то появляется то исчезает
1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\winkey.dll');
DeleteFile('C:\WINDOWS\svc2.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetLog2');
QuarantineFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll','');
QuarantineFile('C:\Program Files\Outlook Express\rasadhlp.dll','');
QuarantineFile('C:\WINDOWS\Temp\msdrv32b.exe','');
QuarantineFile('C:\Program Files\The Bat!\rasadhlp.dll','');
DeleteFile('C:\Program Files\Outlook Express\rasadhlp.dll');
DeleteFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll');
DeleteFile('C:\Program Files\The Bat!\rasadhlp.dll');
DeleteFile('C:\WINDOWS\Temp\msdrv32b.exe');
QuarantineFile('C:\Program Files\Opera\rasadhlp.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ntndis.sys','');
QuarantineFile('C:\WINDOWS\system32\ipsecndis.sys','');
QuarantineFile('C:\WINDOWS\system32\fservice.exe','');
QuarantineFile('C:\WINDOWS\system\sservice.exe','');
DeleteFile('C:\WINDOWS\system\sservice.exe');
DeleteFile('C:\Program Files\Opera\rasadhlp.dll');
QuarantineFile('C:\WINDOWS\system32\csbdll.dll','');
DeleteFile('C:\WINDOWS\system32\csbdll.dll');
DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Замените файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].
2.[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B] что останется из этого
[CODE]
Зараженные процессы в памяти:
C:\WINDOWS\svc2.exe (Trojan.Sisron) -> No action taken.
Зараженные модули в памяти:
C:\Program Files\Opera\rasadhlp.dll (Spyware.Passwords) -> No action taken.
C:\WINDOWS\system32\csbdll.dll (Trojan.Agent) -> No action taken.
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\Software\MSoftware (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\csbdll (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netlog2 (Trojan.Sisron) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\directx for microsoft® windows (Backdoor.ProRat) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\csrcs (Trojan.Agent) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.
Зараженные файлы:
C:\WINDOWS\svc2.exe (Trojan.Sisron) -> No action taken.
C:\Documents and Settings\Admin\Application Data\ACD Systems\crtwincrt12\msftdm.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\ACD Systems\crtwincrt12\msftdm32.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\49MWUTDR\je_nb5[1].exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Admin\Рабочий стол\Никиш\Античит\HideToolz.exe (HackTool.HideProc) -> No action taken.
C:\Documents and Settings\Admin\Рабочий стол\Рабочий стол\CSHack.exe (Trojan.Dropper.PGen) -> No action taken.
C:\Documents and Settings\Admin\Рабочий стол\Рабочий стол\Crack\Keygen-32bits.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Рабочий стол\Рабочий стол\Crack\Keygen-64bits.exe (Trojan.Agent.CK) -> No action taken.
C:\Documents and Settings\Admin\Рабочий стол\Рабочий стол\Crack\Adobe Photoshop CS3 Extended\Photoshop.CS3.Extended-Activate.exe (Trojan.Agent.CK) -> No action taken.
C:\Documents and Settings\Admin\Рабочий стол\Рабочий стол\Adobe.All.Products.v1.02.Keymaker.Only-CORE\keygen.exe (Trojan.Downloader) -> No action taken.
C:\Program Files\Adobe\Adobe Audition 3.0\Crack.exe (Trojan.Downloader) -> No action taken.
C:\Program Files\RadminServerStop\newtstop.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\Total Commander\hnetcfg.dll (Spyware.Passwords) -> No action taken.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.
C:\Program Files\FileZilla FTP Client\hnetcfg.dll (Spyware.Passwords) -> No action taken.
C:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\150.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\csbdll.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\inf\vvt.pnf (Malware.Trace) -> No action taken.
C:\WINDOWS\ktd32.atm (Backdoor.ProRat) -> No action taken.
[/CODE]
- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
В диспетчере осталась только куча svchosts.exe и всё, помогите решить эту проблему
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/CODE]
что с проблемой?
Остались, но уже меньше
Количество процессов svchost может быть разным на разных системах
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]87[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\acd systems\\crtwincrt12\\msfttcp.dll - [B]Trojan.Win32.Swizzor.xpc[/B] ( DrWEB: BackDoor.Msft.1, BitDefender: Backdoor.Generic.475907, NOD32: Win32/Agent.RQN trojan, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\docume~1\\admin\\applic~1\\acdsys~1\\crtwin~1\\msftldr.dll - [B]Trojan.Win32.Agent.gwoy[/B] ( DrWEB: Tool.Siggen.6125, BitDefender: Gen:Variant.Hyat.1, AVAST4: Win32:Malware-gen )[*] c:\\docume~1\\admin\\locals~1\\temp\\geurge.exe - [B]Trojan-Downloader.Win32.Metfok.fy[/B] ( DrWEB: Trojan.DownLoad1.50077, BitDefender: Trojan.Generic.4976149, AVAST4: Win32:VB-OUQ [Trj] )[*] c:\\docume~1\\admin\\locals~1\\temp\\toeeap.exe - [B]Backdoor.Win32.VB.mfc[/B] ( DrWEB: Trojan.DownLoader1.22174, BitDefender: Gen:Trojan.Heur.VP.cmGfaCNdsOp, AVAST4: Win32:VB-QQH [Trj] )[*] c:\\docume~1\\admin\\locals~1\\temp\\yjsagnr.exe - [B]Backdoor.Win32.VB.mgs[/B] ( DrWEB: Trojan.DownLoader1.25563, BitDefender: Gen:Trojan.Heur.VP.cmGfaCjcrXf, AVAST4: Win32:VB-QQH [Trj] )[*] c:\\program files\\internet explorer\\rasadhlp.dll - [B]Backdoor.Win32.Delf.woe[/B] ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\\program files\\mozilla firefox\\rasadhlp.dll - [B]Backdoor.Win32.Delf.woe[/B] ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\\program files\\opera\\rasadhlp.dll - [B]Backdoor.Win32.Delf.woe[/B] ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\\program files\\outlook express\\rasadhlp.dll - [B]Backdoor.Win32.Delf.woe[/B] ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\\program files\\the bat!\\rasadhlp.dll - [B]Backdoor.Win32.Delf.woe[/B] ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\\windows\\services.exe - [B]Trojan-Dropper.MSIL.Late.cg[/B] ( DrWEB: Win32.HLLW.Autoruner.25074, BitDefender: Trojan.Generic.6998777, NOD32: MSIL/TrojanDropper.Agent.BE trojan, AVAST4: MSIL:Small-F [Drp] )[*] c:\\windows\\svc2.exe - [B]Trojan.Win32.Scar.cqtu[/B] ( DrWEB: BackDoor.Siggen.25814, BitDefender: Trojan.Generic.5990207, NOD32: Win32/TrojanClicker.Delf.NID trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\csbdll.dll - [B]Trojan.Win32.Scar.cwwe[/B] ( DrWEB: Trojan.DownLoader1.11670, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\csrcs.exe - [B]Worm.Win32.AutoIt.xl[/B] ( DrWEB: Win32.HLLW.Autoruner.27767, BitDefender: Trojan.Generic.6036016, NOD32: Win32/Tifaut.A worm, AVAST4: Win32:AutoIt-RA [Trj] )[*] c:\\windows\\system32\\drivers\\ndis.sys - [B]Virus.Win32.Protector.f[/B] ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )[*] c:\\windows\\system32\\msmrxgok.dll - [B]Trojan-GameThief.Win32.OnLineGames.xegt[/B] ( DrWEB: Trojan.PWS.Gamania.23798, BitDefender: Gen:Trojan.Heur.LP.cu5@auB@vde, NOD32: Win32/PSW.WOW.NOW trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\winkey.dll - [B]Backdoor.Win32.Prorat.bj[/B] ( DrWEB: Trojan.KeyLogger.212, BitDefender: Backdoor.Generic.78102, NOD32: Win32/Prorat trojan, AVAST4: Win32:Prorat-BH [Trj] )[*] c:\\windows\\temp\\msdrv32b.exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Trojan.DownLoad2.16644, BitDefender: Gen:Variant.Kazy.787, AVAST4: Win32:Crypt-HSZ [Drp] )[*] \\\\?\\globalroot\\systemroot\\system32\\ntfs_ext7.exe - [B]Backdoor.Win32.Shiz.auj[/B] ( DrWEB: Trojan.Packed.19720, BitDefender: Gen:Variant.Rimecud.1, AVAST4: Win32:Malware-gen )[/LIST][/LIST]