svchost грузит процессор на 100%, nod блокирует попытку запроса discountprowatch

Printable View

20.08.2010, 16:44
cesc

svchost грузит процессор на 100%, nod блокирует попытку запроса discountprowatch

svchost грузит процессор на 100%, nod блокирует попытку запроса discountprowatch, при проверке DrWeb CureIt в безопасном режиме выскакивает BSoD.
20.08.2010, 17:36
Шапельский Александр

[B]В безопасном режиме[/B] выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\b7463cd5.exe','');
QuarantineFile('C:\Users\Owner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monoca32.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Users\Owner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monoca32.exe');
DeleteFile('C:\Windows\system32\b7463cd5.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\b7463cd5.exe,
[/code]Перезагрузите ПК.
Закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
20.08.2010, 19:12
cesc

в HijackThis ничего не нашлось с кодом F2.
Однако процессор уже не грузится на 100%.
20.08.2010, 19:39
Шапельский Александр

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Сделайте новый лог virusinfo_syscheck.zip
20.08.2010, 19:51
cesc

сделал.
20.08.2010, 19:59
Шапельский Александр

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\Drivers\ezcir.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).

сделайте лог Gmer.
20.08.2010, 20:38
cesc

Лог Gmer
20.08.2010, 22:09
Шапельский Александр

Сохраните приведённый ниже текст в файл [b]cleanup.bat[/b] в ту же папку, где находится 8eokek4z.exe случайное имя утилиты (gmer)
[CODE]
8eokek4z.exe -del service ezcir
8eokek4z.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ezcir"
8eokek4z.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ezcir"
8eokek4z.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ezcir"
8eokek4z.exe -reboot
[/CODE]
И запустите сохранённый пакетный файл [b]cleanup.bat[/b].
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
20.08.2010, 23:00
cesc

к сожалению, даже при запуске данного пакетного файла с правами администратора пишет что "Отказано в доступе", но в конце компьютер перезагружается.
Лог файл
20.08.2010, 23:04
Шапельский Александр

Делаем паузу, надо подумать.
Что сейчас с проблемой?
20.08.2010, 23:22
cesc

Сводка с фронта:)
svchost больше не кушает 100% процессора (во всяком случае первые полчаса работы, потом не проверял).
всё, что вы говорили в постах №4, №6, №8 я делал НЕ В БЕЗОПАСНОМ режиме. может быть, проблема из-за этого?
и еще. как только я написал первый пост, я удалил Eset Nod32. в правилах было написано что надо выгрузить антивирус, но НОД мне уже так надоел что я решил его полностью удалить). вот
20.08.2010, 23:30
Шапельский Александр

[QUOTE='cesc;691817']всё, что вы говорили в постах №4, №6, №8 я делал НЕ В БЕЗОПАСНОМ режиме. может быть, проблема из-за этого?[/QUOTE]
Нет.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8eokek4z.exe (gmer)
[CODE]8eokek4z.exe -del service ezcir
8eokek4z.exe -del file "C:\Windows\System32\Drivers\ezcir.sys"
8eokek4z.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ezcir"
8eokek4z.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ezcir"
8eokek4z.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ezcir"
8eokek4z.exe -reboot[/CODE]И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer
21.08.2010, 00:16
cesc

опять "Отказано в доступе" при запуске данного пакета.
а при проверке Gmer'ом выскочил синий экран, лишь со второй попытки удалось провериться.
Лог файл.
21.08.2010, 00:23
Шапельский Александр

[URL="http://www.freedrweb.com/livecd/"]Скачайте LiveCD[/URL] запишите образ на CD-R/CD-RW, загрузитесь с него и просканируйте ПК
21.08.2010, 13:25
thyrex

Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url]. В меню драйверов правой кнопкой по [B]ezcir[/B] и выберите [B]"Turn Run Off"[/B], потом подтвердите перезагрузку.

html-лог работы утилиты заархивируйте и прикрепите к своему сообщению

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\Drivers\ezcir.sys','');
DeleteFile('C:\Windows\System32\Drivers\ezcir.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
21.08.2010, 13:54
cesc

в настоящий момент заражённый компьютер проверяется, поэтому сделать последний предложенный вариант лечения смогу, скорее всего, не раньше чем примерно сегодняшние вечер/ночь.
23.08.2010, 01:23
cesc

Наконец-то компьютер проверился на вирусы с диска LiveCD)
Было обнаружено несколько троянов и некоторые dll библиотеки с директориях с папками, где файлы браузеров лежат (фф,опера) в основном с названиями setupapi.dll.
Затем работал с программой OSAM. Лог работы
23.08.2010, 06:07
polword

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- установите [URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=891ab806-2431-4d00-afa3-99ff6f22448d"]SP2 для Vista[/URL]
23.08.2010, 13:21
cesc

установил IE8, SP2 для Vista.
можно ли считать лечение оконченным?
23.08.2010, 13:40
polword

если Вас больше ничего не беспокоит, то да
23.08.2010, 13:49
cesc

больше ничего не беспокоит.
всем большое спасибо за помощь.
24.08.2010, 13:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.Zapchast.cbh[/B] ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )[/LIST][/LIST]