Помогите плиз с фаилом svchost.exe

Printable View

24.09.2010, 16:48
iurbarcas1

Помогите плиз с фаилом svchost.exe

при вкл компютера в диспечтэре задач появляется процес svchost.exe он загружает компютер на 100% как лечити это гадину?
[ATTACH]272555[/ATTACH]

[ATTACH]272556[/ATTACH]

[ATTACH]272557[/ATTACH]
24.09.2010, 17:14
ARMA9000

[URL="http://virusinfo.info/showthread.php?t=1235"]Правила[/URL].
25.09.2010, 15:57
iurbarcas1

мне ктонити поможет я выложил всё по правилам
25.09.2010, 16:08
ARMA9000

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe','');
QuarantineFile('D:\909\909.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monmvr32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monmvr32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
SetAVZPMStatus(True);
BC_Activate;
end.
[/CODE]
Компьюетр перезагрузится. Карантин прислать согласно правилам. БАЗЫ АВЗ ОБНОВИТЬ и переделать логи. Сделать лог гмер.
25.09.2010, 17:08
iurbarcas1

геимером немогу зделати лог кидает синим екраном и пишет што компютер остановлен штоб предупредити полом или штото так вот логи от авз с новыми базами
[ATTACH]272572[/ATTACH]
[ATTACH]272573[/ATTACH]
25.09.2010, 17:09
iurbarcas1

уже svchost.exe не грузит компютер посмотрити пожалуста если там всё норм или нужно ишо штото делати
25.09.2010, 17:28
ARMA9000

Отключить восстановление системы, защитное ПО.
Выполнить скрипт в безопасном режиме:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\tvkska.sys','');
QuarantineFile('C:\WINDOWS\system32\REBUILDI.EXE','');
QuarantineFile('D:\909\909.exe','');
QuarantineFile('c:\documents and settings\admin\wuaucldt.exe','');
TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monmvr32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monmvr32.exe');
DeleteFile('c:\windows\system32\wuaucldt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteFile('c:\documents and settings\admin\wuaucldt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteFile('C:\WINDOWS\system32\Drivers\tvkska.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW',2,2,true);
BC_DeleteSvc('tvkska');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\tvkska.sys');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьюетр перезагрузится. Карантин прислать согласно правилам. Сделайте новые логи.

D:\909\909.exe - этот файл вам знаком?
25.09.2010, 21:30
iurbarcas1

D:\909\909.exe - этот файл вам знаком? да это справочник по телефонам по моему раёну он у меня с время устоновки виндовса
[ATTACH]272639[/ATTACH]
[ATTACH]272640[/ATTACH]
25.09.2010, 22:01
iurbarcas1

Файл сохранён как 100925_220132_virus_4c9e38fc0e692.zip
Размер файла 10472
MD5 ee15b8292d32ee829b44cf2496b3ab6d
27.09.2010, 22:15
iurbarcas1

фаил svchost.exe грузит систему 100%

ну у меня виндовс хп сп3 собствено обо всём говорится в название што предложыте зделати штоб уничитожыти этот процес или лечити[ATTACH]273097[/ATTACH]
[ATTACH]273098[/ATTACH]
[ATTACH]273099[/ATTACH]
27.09.2010, 22:22
Никита Соловьев

1. Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url]. В меню драйверов правой кнопкой по [B]tvkska[/B] и выберите [B]"Turn Run Off"[/B], потом подтвердите перезагрузку.
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению

2. Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\Drivers\tvkska.sys','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monmvr32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monmvr32.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\tvkska.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\tvkska.sys');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].

Сделайте новые логи
28.09.2010, 15:07
iurbarcas1

карантин загрузил

Файл сохранён как 100928_145611_quarantine_4ca1c9cb06f5f.zip
Размер файла 563723
MD5 a75d2e491e07c95cb712cb6062078629

вот osam [ATTACH]273261[/ATTACH]

вот новые логи [ATTACH]273262[/ATTACH]
[ATTACH]273263[/ATTACH]
28.09.2010, 15:13
olejah

[URL="http://virusinfo.info/showthread.php?t=88668"]http://virusinfo.info/showthread.php?t=88668[/URL] - Вы один компьютер в двух темах лечите?
28.09.2010, 15:21
iurbarcas1

там никто не отвечал поэтому создал новую тему думал может ктонити ответит
28.09.2010, 15:24
olejah

Объединенно. Больше такого быть не должно - компьютер лечится в одной теме. Просто апайте её.
28.09.2010, 15:28
iurbarcas1

хорошо!! вы посмотрели там всё чисто в логах? или над ишо штото делати компютерат работает нормалино
28.09.2010, 15:31
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monmvr32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повторите лог [B]virusinfo_syscheck.zip[/B]
28.09.2010, 15:48
iurbarcas1

в безопасныи режим не удалоси вкл, клавиатура перестала работати загрузил компютер и нормалино и зделал скрипт вот лог
[ATTACH]273282[/ATTACH]
28.09.2010, 15:55
olejah

[B]C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monmvr32.exe[/B] - вот этого надо убивать в безопасном, так не убьём скорее всего, в безопасном не сможете выполнить скрипт? Это можно сделть и без клавиатуры.
28.09.2010, 15:59
iurbarcas1

я его нашол может просто так удалити?
клавиатура не работает тогда когда нада выбирати : 1.безопасныи режим
2.безопасныи режим с работаюшим cмd
3.обычиная загрузка
4. последни раз когда нормалино работал

штото типо этого там нужно двигатся в верх и нажати вот тогда она не работает
28.09.2010, 16:01
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]полного сканирования МВАМ[/URL]
28.09.2010, 17:32
iurbarcas1

вот зделал лог
[ATTACH]273312[/ATTACH]
28.09.2010, 20:43
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
29.09.2010, 17:17
iurbarcas1

[ATTACH]273578[/ATTACH]
пожалуста
У меня там малаваре нашол backup и пару троянчиков вы предлогаите их так оставити?
29.09.2010, 17:30
olejah

Абышто. Предлагаю их убить конечно же -

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.

[CODE]KillAll::

File::
c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
monmvr32.exe

Driver::

NetSvc::

Folder::

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [B]CFScript.txt[/B] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
29.09.2010, 17:37
iurbarcas1

[ATTACH]273583[/ATTACH]
зделал всё как сказали
29.09.2010, 21:23
Никита Соловьев

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]
KillAll::

File::
c:\windows\system32\config\systemprofile\wuaucldt.exe
c:\documents and settings\LocalService\Application Data\apiqfw.dat
c:\documents and settings\Admin\Application Data\avdrn.dat
c:\documents and settings\Admin\Главное меню\Программы\Автозагрузка\monmvr32.exe

Folder::

Registry::

[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
30.09.2010, 12:44
iurbarcas1

[ATTACH]273752[/ATTACH] зделал всё как сказали вот лог новыи
с системои всё нормалино фаил из автозапуска удалился
30.09.2010, 15:43
iurbarcas1

спасиб болишое што поиогли исправити эту проблему
30.09.2010, 15:57
Никита Соловьев

[url=http://virusinfo.info/showpost.php?p=500136&postcount=2]Удалите[/url] ComboFix

проблема решена?
01.10.2010, 09:12
iurbarcas1

да проблема решиласи спасиб вам болишое
01.10.2010, 09:26
olejah

Рекомендуется.

- Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
02.10.2010, 09:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\monmvr32.exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Trojan.Botnetlog.552, BitDefender: Gen:Variant.Kazy.819, AVAST4: Win32:Crypt-HSZ [Drp] )[*] c:\\windows\\system32\\wuaucldt.exe - [B]Trojan.Win32.Pincav.agln[/B] ( DrWEB: BackDoor.Bulknet.510, BitDefender: Trojan.Inject.IA, NOD32: Win32/Wigon.OL trojan, AVAST4: Win32:Cutwail-AN [Trj] )[/LIST][/LIST]