Доброе утро.
Подцепил вирус,svchost загружает ЦП на 99%.
Прошу вашей помощи.
Printable View
Доброе утро.
Подцепил вирус,svchost загружает ЦП на 99%.
Прошу вашей помощи.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Профиксите в HijackThis что останется
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O4 - Startup: wwwznv32.exe
[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Файл сохранён как 100720_112916_quarantine_4c45504c82bf4.zip
Размер файла 58817
MD5 eaa5d6f96b9a612dd69211b7748fc5db
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '05.05.2010', '20.07.2010');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
После перезагрузки:
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
Файл сохранён как 100720_122159_quarantine_4c455ca77bf2c.zip
Размер файла 15719463
MD5 fbc0bc5d3f5b21837d248c436aede692
Карантин загрузил, но с Combofix'ом проблема, после его работы, примерно через 5-10 минут, компьютер выдал синий экран.
попробуйте сделать лог еще раз
Снова синий экран.
1. Пуск - Выполнить - regedit
Ветку
[QUOTE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^wwwznv32.exe][/QUOTE]
удалите вручную
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\ijt3Pwg.exe');
DeleteFile('C:\WINDOWS\system32\bWWkGjf.exe');
DeleteFile('C:\WINDOWS\system32\3N70lyW.exe');
DeleteFile('C:\WINDOWS\system32\FSRPM0I.exe');
DeleteFile('C:\WINDOWS\system32\lucQsUQ.exe');
DeleteFile('C:\WINDOWS\system32\PfQmnrv.exe');
DeleteFile('C:\WINDOWS\system32\WFLgqXJ.exe');
DeleteFile('C:\WINDOWS\system32\zmj4OXq.exe');
DeleteFile('C:\WINDOWS\system32\ZfB6c3l.exe');
DeleteFile('C:\WINDOWS\system32\r50KdrK.exe');
DeleteFile('C:\WINDOWS\system32\Y806Jwr.exe');
DeleteFile('C:\WINDOWS\system32\ZdW6oU0.exe');
DeleteFile('C:\WINDOWS\system32\yqtCIQY.exe');
DeleteFile('C:\WINDOWS\system32\SFOQcn7.exe');
DeleteFile('C:\WINDOWS\system32\Yu49rWu.exe');
DeleteFile('C:\WINDOWS\system32\Yk6sKQX.exe');
DeleteFile('C:\WINDOWS\system32\ZpPXBqM.exe');
DeleteFile('C:\WINDOWS\system32\WjzFsjB.exe');
DeleteFile('C:\WINDOWS\system32\PYEYjxE.exe');
DeleteFile('C:\WINDOWS\system32\yHT7Afa.exe');
DeleteFile('C:\WINDOWS\system32\QutNX2F.exe');
DeleteFile('C:\WINDOWS\system32\XOsRmh0.exe');
DeleteFile('C:\WINDOWS\system32\t89yHQH.exe');
DeleteFile('C:\WINDOWS\system32\QIsZ1og.exe');
DeleteFile('C:\WINDOWS\system32\nPte5UB.exe');
DeleteFile('C:\WINDOWS\system32\xKYLBIJ.exe');
DeleteFile('C:\WINDOWS\system32\uhYWLes.exe');
DeleteFile('C:\WINDOWS\system32\zNSxCVF.exe');
DeleteFile('C:\WINDOWS\system32\qStIHQg.exe');
DeleteFile('C:\WINDOWS\system32\UqRGYDm.exe');
DeleteFile('C:\WINDOWS\system32\rGVSzho.exe');
DeleteFile('C:\WINDOWS\system32\tVoSmJO.exe');
DeleteFile('C:\WINDOWS\system32\uhLWP6G.exe');
DeleteFile('C:\WINDOWS\system32\wbrjsTU.exe');
DeleteFile('C:\WINDOWS\system32\Qi7duwq.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторный лог RSIT
Сделал.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
и еще выполните такой скрипт в AVZ:
[CODE]begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\', 'wwwznv32');
end.[/CODE]
Файл wwwznv32_************.reg из папки AVZ\Backup\...\ приложите в теме.
Сделал
Не могу приложить файл wwwznv32_************.reg
Не получается загрузить.Сейчас попробую еще раз.
[QUOTE=polword;673309]выполните такой скрипт в AVZ:
[CODE]begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\', 'wwwznv32');
end.[/CODE]Файл wwwznv32_************.reg из папки AVZ\Backup\...\ приложите в теме.[/QUOTE]
вот это сделайте
Вот, получилось :)
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
Синий экран.
[QUOTE]Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение.[/QUOTE]
делали?
Делал.Выключал все что было указано
[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]
В чем может быть проблема?
давайте так попробуем
удалите файл
[QUOTE]C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe[/QUOTE]
с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword[/URL]
- перезагрузитесь.
- Сделайте повторный лог virusinfo_syscheck.zip;
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написал хелпер.
Объясните, пожалуйста,что такое руткит?
ваш руткит - C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe