Антивирус удалил svchost, загрузка процессора 100%

Printable View

07.10.2010, 22:24
VLDolph

Антивирус удалил svchost, загрузка процессора 100%

Антивирус удалил svchost, загрузка процессора 100%
07.10.2010, 22:44
DefesT

virusinfo_cure.zip - уберите из вложений!
где логи AVZ по правилам?
07.10.2010, 22:50
VLDolph

[QUOTE=DefesT;717476]где логи AVZ по правилам?[/QUOTE]
выполнил оба скрипта пункты 1,2 правил, но avz создал только [URL="http://virusinfo.info/attachment.php?attachmentid=275523&d=1286475879"]virusinfo_cure.zip[/URL]
07.10.2010, 22:53
DefesT

в директории AVZ в папке "LOG" есть архивы virusinfo_syscure.zip и virusinfo_syscheck.zip?
08.10.2010, 00:06
VLDolph

[QUOTE=DefesT;717483]в директории AVZ в папке "LOG" есть архивы virusinfo_syscure.zip и virusinfo_syscheck.zip?[/QUOTE]
нет, проверку делаю в безопасном режиме т.к. в нормальном очень сильно тормозит
08.10.2010, 01:44
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
08.10.2010, 06:26
VLDolph

не запускается выдает Run-timeerror 372
Failed to load control 'vbaGrid' from vbalsgrid6.ocx.Your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application
08.10.2010, 06:46
polword

- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
09.10.2010, 13:33
VLDolph

лог combofix
09.10.2010, 13:54
polword

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\program files\plugin.exe
c:\documents and settings\оля\Главное меню\Программы\Автозагрузка\wwwzuc32.exe
c:\windows\pss\wwwzuc32.exeStartup
c:\windows\system32\9209c920.exe
c:\windows\system32\jreqqe.exe
c:\windows\system32\a75fd87f.exe
c:\windows\system32\qojeap.exe
c:\windows\system32\drivers\jrofzers.sys
c:\windows\system32\winmcreg.exe
E:\udAewI.eXe

Driver::

NetSvc::

Folder::
c:\program files\Common Files\e89b68ba

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\plugin]
[-HKLM\~\startupfolder\C:^Documents and Settings^оля^Главное меню^Программы^Автозагрузка^wwwzuc32.exe]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kargiezq]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rzeumzmo]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tofofhcr]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xzerfnet]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\czuhqvrn]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\defxrkzs]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\fnfumggn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
- Восстановите файл c:\windows\System32\services.exe из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].
- Сделайте логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])
09.10.2010, 14:47
VLDolph

drag and drop не работает
10.10.2010, 13:16
VLDolph

логи
10.10.2010, 13:43
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\qojeap.exe','');
QuarantineFile('C:\WINDOWS\system32\jreqqe.exe','');
QuarantineFile('C:\WINDOWS\system32\a75fd87f.exe','');
QuarantineFile('C:\WINDOWS\system32\9209c920.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\hqzumrqz.sys','');
DeleteService('hqzumrqz');
QuarantineFile('C:\WINDOWS\system32\drivers\mgnt.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\hqzumrqz.sys');
DeleteFile('C:\WINDOWS\system32\9209c920.exe');
DeleteFile('C:\WINDOWS\system32\a75fd87f.exe');
DeleteFile('C:\WINDOWS\system32\jreqqe.exe');
DeleteFile('C:\WINDOWS\system32\qojeap.exe');
DeleteFile('C:\WINDOWS\temp\klsDFA4.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [COLOR="Blue"][B]log.txt[/B][/COLOR] и [COLOR="Blue"][B]info.txt[/B][/COLOR]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
10.10.2010, 14:36
VLDolph

логи
11.10.2010, 01:17
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\XP-3A6EE676.EXE');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^оля^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"][B]RSIT[/B][/COLOR]
11.10.2010, 11:15
VLDolph

лог RSIT
12.10.2010, 07:26
polword

В логе подозрительного нет.

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
13.10.2010, 07:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]