Svchost грузит систему на 100 проц

Printable View

Показывать 40 сообщений этой темы на одной странице

03.08.2010, 14:10
MMMMM13

Сделал все
03.08.2010, 14:19
polword

Пришлите файл C:\WINDOWS\notepab.exe запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
03.08.2010, 14:34
MMMMM13

прислал

[size="1"][color="#666686"][B][I]Добавлено через 46 секунд[/I][/B][/color][/size]

Файл сохранён как 100803_143256_WinRAR ZIP archive_4c57f058286ff.zip
Размер файла 35894
MD5 f042d502725ac0ffb39bff7df0010ca5
03.08.2010, 15:32
thyrex

Вас просили прислать [QUOTE='polword;681198']C:\WINDOWS\notepa[COLOR="Red"]b[/COLOR].exe[/QUOTE], а Вы прислали другой файл
03.08.2010, 15:45
MMMMM13

а этот файл находитя в карнтине у доктора веба курейт... а не WINDOWS сейчас пришлю
03.08.2010, 22:21
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\notepab.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Text optimazer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

+ удалите его из карантина доктора веба
04.08.2010, 00:33
MMMMM13

Файл удалил. вот лог
04.08.2010, 00:36
thyrex

Чисто в логе
04.08.2010, 08:55
polword

Обновите систему
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.3[/URL] или удалите старый.

После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
10.08.2010, 16:38
MMMMM13

компьютер просто ищет эту проблему уже 4 раз((( не подскажите как обезопасить компьютер от нее? вот логи
10.08.2010, 17:07
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] в безопасном режиме
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторный лог RSIT
11.08.2010, 11:47
MMMMM13

вот.
11.08.2010, 12:15
polword

карантин пришлите.

в логах чисто
11.08.2010, 13:02
MMMMM13

Я ПРИСЫЛАЛ
11.08.2010, 14:42
thyrex

Последний карантин от Вас получен 3 августа. Последний скрипт датируется 10-м августа
12.08.2010, 14:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\1\главное меню\программы\автозагрузка\monoca32.exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Trojan.Packed.20775, BitDefender: Gen:Variant.Ursnif.20, AVAST4: Win32:Crypt-HCZ [Drp] )[*] c:\windows\system32\fjhdyfhsn.bat - [B]Trojan.BAT.DelFiles.ez[/B] ( DrWEB: BAT.KillFiles.42, BitDefender: Trojan.BAT.AACH, NOD32: BAT/Agent.NFC trojan, AVAST4: VBS:Malware-gen )[*] c:\windows\system32\6e9c22d5.exe - [B]Trojan-Dropper.Win32.Agent.cosf[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\66d65d97.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.cq0@a8b@Q8pi, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\7d99ced3.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \notepab.exe - [B]Trojan-Clicker.Win32.Agent.mjc[/B] ( DrWEB: Trojan.Click1.25246, BitDefender: Trojan.Generic.4478633, AVAST4: Win32:Malware-gen )[/LIST][/LIST]

Показывать 40 сообщений этой темы на одной странице