Неполадки svchost

Играя в игур, сильно заглючил комп, перезагрузил. Потом после перезагрузки он сам перезагрузился ещё раз. Потом ещё раз:O Тогда картинка Виндовса была размазанная и с другими цветами. Мне с трея вылетает сообщение, что мой компьютер будет тормозить из-за Malware. После этого вылетает, что без файерволла будет плохо и отправляет меня на какой-то сайт через експлорер. У меня комп месяц стоит, и я почему-то не поставил на него ни файерволла, ни антивируса:( Но про АВЗ я не забыл:D После сканирования удалил один файл, после перезагрузки и другого нашло целый букет. Несколько даунлоадеров из темпорари и систем32 (точно вирусов) выдалил. Тот, что из систем32, dll прописался в расширения к интернет эксплореру, ну я его оттуда выдалил. Также он был в автозапуске, тоже выдалил. Через хайджекер пофиксил две записи об svchost.exe.exe***** и об этом файле. Сразу как обнаружил вирус, установил комодо, который при установке говорил, что уже есть файерволл, но я его всёравно поставил (на этом компьютере кроме виндовсовского никакого нету и не было). После перезагрузки он не включился. К интернету доступа не было, но почему-то появился, когда провёл исследование системы авз (хотя и ничего не выдалял):O
Вот логи.

[QUOTE]
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в [B]11.05.2008 13:33:25[/B]
[/QUOTE]
интересный вариант ....

не понял... я ведь только что сканировал!!!

hijackthis.log - точно свежий .... а логи авз вы видимо положили не те ...

Только что наново просканировал - новый только cure, а syscure & syscheck старые:(( Попробую выдалить старые (может он не может их заменить)

Мараясь несколько часов, чтобы просканировать с отчётами, а потом чтобы войти в интернет (пришлось несколько десятков раз перезагружать компьютер)>:(, я всё-таки сделал логи8) Пожалуйста, ответьте скоро, ибо не знаю, смогу ли я войти завтра в нет:(

[URL="http://www.majorgeeks.com/downloadget.php?id=5199&file=15&evp=0d36c3ec48c6373fd5daac78f0c6a417"]скачайте [/URL] C:\WINDOWS\system32\Drivers\ati0kpxx.sys - force delete
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
DelBHO('{32C620D6-CC10-4e6a-9715-BACACD5B0E61}');
QuarantineFile('sxmg4.dll','');
QuarantineFile('ixywpvv32.dll','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati0kpxx.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ati0kpxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('ixywpvv32.dll');
DeleteFile('sxmg4.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Карантин отослал. Сделал логи в безопасном режиме. Но svchost.exe остаеться. В хайджеке удалил записи об нём, запретил файерволлом svchost выходить в интернет. Лёдомечом удалил тот файл.

Все делать в обычном режиме!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
DeleteService('psyche');
DeleteService('CbEvtSvc');
QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\system32\ixywpvv.dll','');
DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
DeleteFile('C:\WINDOWS\System32\psyche.exe');
DeleteFile('C:\WINDOWS\system32\ixywpvv.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0kpxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('psyche');
BC_DeleteSvc('CbEvtSvc');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Я всё делаю в обычном режиме, но логи АВЗ в безопсаном, поскольку они в обычном не сохраняються:(

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

Спасибо! К счастью, на этот раз svchost.exe.exe***** выдалился... АВЗ теперь сохраняет логи в обычном режиме. Но, кажеться, есть ещё кое-что.

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: ixywpvv - ixywpvv.dll (file missing)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('ixywpvv.dll');
DeleteFile('C:\WINDOWS\system32\CbEvtSvc.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделайте полную проверку CureIT и повторите логи...

Нашел несколько троянов и Backdoor в системной папке и Темпорари.

Логи сделайте...

Вот логи. CureIt находит во всех браузерах (Opera, IE, Firefox) setupapi.dll как троян Даунлоадер. Может ли быть, что это так?

Нету логов...

Не могу закачать вложения... что-то нету той кнопки

Расширенный режим при ответе выбирайте...

Хех. Теперь наконец-то появилась та кнопочка "Управление вложениями". Недавно удалил AskSbar при помощи IceSword. Читал, что в ней всегда вирусы. Когда поставил новую версия Комодо с Сейфсарфбар и попробовал включить IE, я заметил эту гадость, но она через несколько секунд заменилась Комодовским баром. Ещё появилось cssdll32.dll. Пока не удалял. Жду совета.

ничего плохого в логах

А что это такое? "spdi.sys"
С каждым разом оно меняет своё название, но всё равно имеет 4 буквы и начинаеться на "s". Для чего этот файл?

Драйвер эмулятора дисков...