svchost,explorer.exe

Здравствуйте, отец удалял вирусы, в результате чего при перезагрузке не было рабочего стола(експлорер.ехе) не найден... Он восстановил систему на предыдущую дату, почистил вири, все работает.. НО... Все время вылазит ошибка svchost ( отправлять не отправлять), а так же через файрвол наблюдаю такое...
EXPLORER.EXE TCP 66.36.228.233 2741 ~Автоматически созданное правило для соединения 0 0
И так все время.. по 9-10 таких соединений вижу... Комп еле работает. Логи ниже.Спасибо!!!

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Wingm06.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winpv41.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\yrtumdriver.sys','');
DeleteService('zgerflslrfbanz');
DeleteService('Winpv41');
DeleteService('Wingm06');
DeleteService('Winek06');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\drivers\RSMNZJVV.sys','');
DeleteService('RSMNZJVV');
QuarantineFile('C:\WINDOWS\system32\drivers\qrozxfho.sys','');
DeleteService('pmuanazierghep');
DeleteFile('C:\WINDOWS\system32\drivers\qrozxfho.sys');
DeleteFile('C:\WINDOWS\system32\drivers\RSMNZJVV.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\tbrmnqlnwjo.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winpv41.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wingm06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winek06.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('digeste.dll');
QuarantineFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
DeleteFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Главное меню\Программы\Автозагрузка\ikowin32.exe');
BC_ImportDeletedList;
BC_DeleteSvc('pmuanazierghep');
BC_DeleteSvc('RSMNZJVV');
BC_DeleteSvc('synsend');
BC_DeleteSvc('Winek06');
BC_DeleteSvc('Wingm06');
BC_DeleteSvc('zgerflslrfbanz');
BC_DeleteSvc('Winpv41');
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="#ff0000"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).


Сделайте лог гмера по правилам [url]http://virusinfo.info/showthread.php?t=40118[/url]

Повторите логи AVZ.

Признаки сетевой активности остались... Свчост ушла ошибка, но гмер руткита чтоли выхватил.

Выполните рекомендации из этой темы: "[URL="http://virusinfo.info/showthread.php?t=50169"]Как бороться с TDSS?[/URL]"

Ща... А с этим как быть? логи кроме тдсс чисты?
66.36.228.233

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

TDSS вылечил. активность сетевая как и была, так и есть:(

Удалил в интернет експлорер\коммон файлс файл, забыл назхвание.. через яндекс нашел. айсвордом удалил, сетевой активности вроде нету... АА тдсс так и не удалился, каждый раз после перезагрузки прога заново его находит.

- Сделайте такой лог: [url]http://virusinfo.info/showpost.php?p=454444&postcount=3[/url]
- Повторите лог Гмер.

Сейчас приехал с отдыха, удалял вирусы... Тдсссом еще раз удалил... Перезагрузил, нет рабочего стола.. Еще раз... Все также нету... Начал проверять АВЗ, всоре выложу логи... но уж больно долго авз проверяет.. Около часа:)

Присылаю Логи... При перезагрузке вылетил экран смерти.. тдсс не вылечен...

[QUOTE='Rene-gad;459606']- Сделайте такой лог: [url]http://virusinfo.info/showpost.php?p=454444&postcount=3[/url]
- Повторите лог Гмер.[/QUOTE]
Не все логи сделали

При ребуте BSOD, а потом прога тупо не загружается.... Так как нет рабочего стола...

Отключите восстановление системы!!!
Если не обновить систему до SP3 и последующих обновлений борьба рискует затянуться
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\RECYCLED\Dc1.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe','');
QuarantineFile('$‘|x.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
QuarantineFile('C:\Program Files\KYE\WebMate\BM.exe','');
QuarantineFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Рабочий стол\.\..\drwvas.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\yrtumdriver.sys','');
QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP159\A0060718.EXE','');
QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP158\A0059983.EXE','');
QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP157\A0050066.EXE','');
QuarantineFile('C:\System Volume Information\_restore{15B46A87-1E6E-44FB-B15C-68D90B8D38E8}\RP155\A0048681.exe','');
QuarantineFile('e:\windows\system32\drivers\TDSSserv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('$‘|x.exe');
DeleteFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Рабочий стол\.\..\drwvas.exe');
DeleteFile('C:\Program Files\KYE\WebMate\BM.exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\yrtumdriver.sys');
DeleteFile('C:\RECYCLED\Dc1.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Connection Wizard Configuration Tool');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BMISR');
DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
BC_ImportALL;
BC_DeleteSvc('rk_remover');
BC_DeleteSvc('YiRuanUSB');
BC_DeleteFile('e:\windows\system32\drivers\TDSSserv.sys');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.[/code]
Закачайте карантин. Сделайте новые логи

Перезагрузился, рабочий стол есть. .признаковвируса свиду нету. Теперь вопрос. Синий экран смерти при перезагрузке есть. И у меня тут фат32 стоит, при перезагрузке CHKdsk вылазит.. он там какие-то файлы проверяет, поэтому во время лечения яч пропускаю эту процедуру нажатием клавиши... Нужно ли сделать эту процедуру???? Сейчас поставил логи делать, через часа будут.
Спасибо.


З.Ы В логе авенжера написано, что но руткитс фанд. все.)

Chkdsk пропускаете, поэтому он каждый раз и вылезает. С каким кодом синий экран вываливается? Восстановление системы отключили? Безопасный режим работает? И где собственно карантин?

vegas, я карантин скину, как логи сделаются... Ок? часа 2 все это займет.:( Как буду перегружаться, постараюсь разглядеть... но началось все после вируса - 100%... Безопасный вроде да..
Чекдиск дождался, но при перезагрузке - синий экран и после этого опять чкдиск вылазит...

Значит ждем карантин и новые логи

Логи прилагаю, карантин отослал.

Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
DeleteService('ksiqtvul');
QuarantineFile('C:\WINDOWS\system32\drivers\ytlq.sys','');
QuarantineFile('C:\windows\system32\drivers\TDSSserv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' ');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
DeleteFile('C:\WINDOWS\system32\drivers\ytlq.sys');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportALL;
BC_DeleteSvc('ksiqtvul');
BC_DeleteFile('C:\windows\system32\drivers\TDSSserv.sys');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.[/code]

Закачайте карантин. Запустите еще раз последнюю версию TDSS remover . Сделайте логи АВЗ и Avenger [url]http://virusinfo.info/showpost.php?p=454444&postcount=3[/url]

TDSS Remover нажимаю делит селектид, он удаляет якобы, перегружает и заного его находит.... Вот и че делать???... Логи Карантина выслал. Лог Авенжера не скидываю, там надпись Но руткитс файнд и все... Подвешиваю лог тдсс_ремовер.. Так как там есть некоторые данные. Логи АВЗ сделаю завтра, сегодня футбол, совсем уж не успеваю.

Файл сохранён как 090909_203207_virus_4aa7d88716fd3.zip

Прилагаю логи.. пока жалоб нету.. Но тдсс так и не удалился.

Прогресс налицо, однако в каждом логе появляется что-то новое - и только тдсс остается :). Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\PROGRA~1\TEXT-R~1\PAGERE~1\TRPAGE~1.DLL','');
StopService('rk_remover');
QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
DeleteService('rk_remover');
QuarantineFile('bichhin.sys','');
DeleteService('TDSSserv');
QuarantineFile('e:\windows\system32\drivers\TDSSserv.sys','');
BC_DeleteFile('e:\windows\system32\drivers\TDSSserv.sys');
BC_ImportALL;
BC_DeleteSvc('TDSSserv');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин закачайте, если тдсс останется скачайте свежий CureIt и пролечитесь в безопасном режиме. Затем - новые логи