Левый svchost.exe

Printable View

06.08.2008, 16:45
Veselyi_Rodger

Левый svchost.exe

В компе появился левый svchost.exe, который лезет в автозагрузку. Стоит каспер, после каждой загрузки он ругается на этот экзешник, но в окошке предлагает только пропустить этот файл (удаление и личение заблокировано).
Файл располагается в папке windows (это двойник c\\windows\sistem32\svchost.exe) Можно конечно загрузиться под лайф сиди и грохнуть его, но это слишком грубо.
Помогите пожалуйсто, а то ком тормозит жутко.
Прикрепляю логи
06.08.2008, 16:50
Гриша

Отключите антивирус!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

На такой тачке вы дальше нашего сайта не уедете8)

[CODE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/CODE]

Нужно срочно установить SP3...
11.08.2008, 15:15
Veselyi_Rodger

Два дня комп работал нормально (четверг и пятницу). Сегодня начал выдавать ошибки.
После загрузки: Generic Host Process for Win32 Services - бнаружена ошибка. Приложение будет закрыто......
Так же не открывались эксель и досовские документы инет работал. После отключения каспера ворд с эксеслем стали открываться. Прогнал логи, сделал отчёт hijackthis (делался он как-то долго, при этом выскакивали ошибки, мол в приложении ошибки, приложение должно закрыться). Далее после стандартых скриптов и сделанного отчёта hijackthis, эксель с вордом стали работать при включенном каспере. Только проблема есть ещё одна при включенном каспере инет работает, но не долго и особенно не весело. После отключения каспера инет работает нормально почти 9 то и дело возникают какие-то ошибки в разных строках - появляется табличка с надписью ошибка в такой-то строке)
Извеняюсь, что поздно высылаю логи - раньше просто немог
11.08.2008, 16:09
Rene-gad

[COLOR="Red"][B]Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/B][/COLOR]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
11.08.2008, 17:11
Veselyi_Rodger

Проблемы с инетом не пропали (при переходе с страницы на страницу всё так же выдаёт ошибки в строчках) Может ли помочь обновление 6-го эксплорера на 7-ой или дело в другом?
Можно обновлять сервис пак 1 сразу до сервис пака 3?
Логи прикрепляю, карантин высылаю.
11.08.2008, 17:39
Rene-gad

Начните с выполнения рекомендаций в плане [B]Обновить Базы АВЗ[/B]. Сделайте новые логи со свежими базами.
11.08.2008, 17:49
Veselyi_Rodger

Да, во время выполнения скриптов комп самопроизвольно уходит на перезагрузку.
11.08.2008, 17:51
Rene-gad

[QUOTE=Veselyi_Rodger;266247]Да, во время выполнения скриптов комп самопроизвольно уходит на перезагрузку.[/QUOTE]Стандартных скриптов или наших?
12.08.2008, 13:23
Veselyi_Rodger

[quote=Rene-gad;266248]Стандартных скриптов или наших?[/quote]
В том то и дело, что стандартных. Когда первый раз выполняю стандартный скрипт, уход на перезагрузку. После перезагрузки второй раз выполняю скрипт - скрипт выполняется.
После перезагркзки пишет, что система востановлена после серьёзной ошибки. Только вот востановление системы отключено (галочка стоит в Мой компьютер-свойства-востановление системы-отключить востановление системы на всех дисках)
12.08.2008, 13:25
Rene-gad

Обновите базы АВЗ и сделайте логи начиная от п.10 правил, т.е. стандартный скрипт 3 пока не выполняйте.
13.08.2008, 16:56
Veselyi_Rodger

[QUOTE=Rene-gad;266469]Обновите базы АВЗ и сделайте логи начиная от п.10 правил, т.е. стандартный скрипт 3 пока не выполняйте.[/QUOTE]

Базу обновил, скрипт выполнил. Одна беда не вкладывается
13.08.2008, 16:58
Rene-gad

[QUOTE=Veselyi_Rodger;267064]Базу обновил, скрипт выполнил. Одна беда не вкладывается[/QUOTE]Запакуйте все в один архив, закачайте на файлообменник (narоd.ru, zalil.ru) и дайте ссылку.
13.08.2008, 17:03
Veselyi_Rodger

Залил однако
[url]http://slil.ru/26056371[/url]
13.08.2008, 17:10
Rene-gad

Выполните скрипт.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('K:\autorun.wsh','');
DeleteFile('K:\autorun.wsh');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Старые логи можете удалить, может тогда закачка состоится.
Новые после ребута закачайте.
13.08.2008, 17:45
Veselyi_Rodger

Теперь 3-ий стандартный скрипт выполняется нормально
13.08.2008, 17:49
Rene-gad

Драйв К:\ был подключен, когда скрипт выполняли?
14.08.2008, 02:04
Veselyi_Rodger

Я так понял, что вот этот : K:\autorun.wsh
Я его не отключал.
14.08.2008, 09:51
Гриша

Это что флешка,диск,хард?
15.08.2008, 17:35
Veselyi_Rodger

[quote=Гриша;267348]Это что флешка,диск,хард?[/quote]
Получается этот драйвер был отключёт - К:\ это сетевое подключение. Что-то я сразу не допёр.

[size="1"][color="#666686"][B][I]Добавлено через 59 минут[/I][/B][/color][/size]

Теперь у меня всё чисто? Могу делать обновление сервиспака до третьего, если да, то сразу до третьего или через второй?
Ошибки при открытии страниц в инете остались, но может тут проблемы в эксплорере? Обновить эксплорер с моим сервис паком 1 до 7-го немогу (мелкомягкиене предусмотрели этого)
15.08.2008, 17:38
Rene-gad

[QUOTE=Veselyi_Rodger;268125]
Могу делать обновление сервиспака до третьего, если да, то сразу до третьего или через второй? [/QUOTE]Если у вас система лицензионная, то можете накатывать СП3 на СП1. Возможно потребуется новая активация.
IE7 ставится на СП3 беспроблемно.
15.08.2008, 17:52
Veselyi_Rodger

В том-то и дело, что нет. Есть образ установочного диска с ХР сервиспак2.
IE7 и на второй ставится безпроблем.
А комп-то чист?
15.08.2008, 17:56
Rene-gad

[QUOTE=Veselyi_Rodger;268188]
А комп-то чист?[/QUOTE]
А есть проблемы?
15.08.2008, 18:11
Veselyi_Rodger

Вроде только с ошибками на страницах IE, ну и тормоз он ещё, но это похоже диагноз.
15.08.2008, 18:15
Rene-gad

[QUOTE=Veselyi_Rodger;268198]Вроде только с ошибками на страницах IE, ну и тормоз он ещё, но это похоже диагноз.[/QUOTE]Кэш ИЕ почистили?
Eще скрипт запустите.
[CODE]begin
executerepair(2);
executerepair(3);
executerepair(4);
RebootWindows(true);
end.[/CODE]
15.08.2008, 18:41
Veselyi_Rodger

[quote=Rene-gad;268202]Кэш ИЕ почистили?
Eще скрипт запустите.
[/quote]
В смысле Temporary Internet Files?
15.08.2008, 18:48
Rene-gad

[QUOTE=Veselyi_Rodger;268214]В смысле Temporary Internet Files?[/QUOTE]Да :)
15.08.2008, 19:09
Veselyi_Rodger

[quote=Rene-gad;268218]Да :)[/quote]
Скрипт выполнил - ничего не изменилось (окромя того, основной страницей стала пустая), усё содержание Temporary Internet Files почистил - то же самое.
Сейчас сделал следующее в свойствах обозревателя\ дополнительно поставил галочку посказывать ошибки сценария помоему, её там небыло. После чего мне естественно выдаётся ошибка сценария - я убираю галочку.
Первое время ошибки перестают возникать, но потом опять на каждой странице появляются кроме стартовой.
15.08.2008, 19:17
V_Bond

скриншет ошибки сделайте ....
15.08.2008, 19:28
Veselyi_Rodger

Причём в том окне, где я делал изменения - всё работает чисто (ну есть конечно внизу "выполнено, но с ошибками на странице", но это не в серидине окна.
А вот в новых попрежнему на каждой странице ошибки в центре.
Надо поискать 6-ой IE.

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

[quote=V_Bond;268230]скриншет ошибки сделайте ....[/quote]
Скрин сделал, но не знаю как его прикрепить.
ЗЫ:Ошибки все разные, синтаксические и разное количество. В конце просит запустить отладку.
15.08.2008, 21:44
V_Bond

прикрепить так [url]http://www.radikal.ru/[/url]
16.08.2008, 23:13
Veselyi_Rodger

Прикрнпляю
[URL=http://radikal.ru/F/s53.radikal.ru/i142/0808/94/e82304c9db00.jpg.html][IMG]http://s53.radikal.ru/i142/0808/94/e82304c9db00t.jpg[/IMG][/URL]
17.08.2008, 11:41
V_Bond

и на каком сайте это происходит?
17.08.2008, 14:35
Veselyi_Rodger

[quote=V_Bond;268791]и на каком сайте это происходит?[/quote]
На всех, включая и ваш. Не ругается только на стартовую страницу.
17.08.2008, 15:16
V_Bond

ну тогда путь у вас один сп3 + ие7
22.02.2009, 06:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Trojan-Proxy.Win32.Ranky.mm[/B] (DrWEB: BackDoor.Siggen.22)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.dvq[/B] (DrWEB: Trojan.Packed.511)[*] c:\\windows\\system32\\..\\svchost.exe - [B]Trojan-Proxy.Win32.Ranky.mm[/B] (DrWEB: BackDoor.Siggen.22)[/LIST][/LIST]