Помогите избавиться от ошибок Spool и Svchost

[polword]

полный путь до файла xsvr85.exe напишите.
- Сделайте лог MBAM
- сделайте лог Combofix

[Gabidz]

Полный путь к двум подозрительным файлам:
C:\WINDOWS\system32\xsvr85.exe@
C:\WINDOWS\system32\xsvr18.exe@

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\sopasclib.dll
c:\windows\system32\sopasvstart.dll
C:\WINDOWS\system32\xsvr85.exe@
C:\WINDOWS\system32\xsvr18.exe@
c:\windows\system32\wayic.dll
c:\windows\system32\wayi.exe
c:\windows\system32\00YIZA37\E001.exe
C:\WINDOWS\system32\058OI1JM\A13.exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XVT9XSNA\A13[1].exe
c:\windows\system32\sqlserv.exe
c:\windows\system32\xsvr85.zip

Driver::
vsd
SopSrv
SqlDebuger

Folder::
c:\windows\system32\1ETZ07WQ
c:\windows\system32\28NU55MB
c:\windows\system32\00YIZA37
c:\windows\system32\058OI1JM
c:\windows\system32\WH3GNP2R
c:\windows\system32\VRM05LZH
c:\windows\system32\O0PU8H04
c:\windows\system32\NQUXKZEN
c:\windows\system32\t

Registry::

FileLook::
c:\windows\system32\Sqldebug.exe

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Gabidz]

Извините, что долго не отвечал, не было доступа к ПК. Отчет во вложении.

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\Sqldebug.exe

Driver::

Folder::
c:\windows\system32\DYBXL32O
c:\windows\system32\G4VHGRSW

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"SopSrv"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Gabidz]

Отчёт добавил.

[thyrex]

c:\windows\system32\gametower.exe - что за файл?

[Gabidz]

Не знаю.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('c:\windows\system32\gametower.exe','');
end.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

[Gabidz]

Карантин выслал.

[thyrex]

Файл в вирлабе. Ждем

[PavelA]

В одном из карантинов был:
Net-Worm.Win32.Kolab.jqi

[Gabidz]

В одном из карантинов был:
Net-Worm.Win32.Kolab.jqi

Что мне с ним делать?

[polword]

Что мне с ним делать?

ничего не сделаете. Его нет уже - удалили.

c:\windows\system32\gametower.exe - чистый

- Удалите ComboFix

- Сделайте повторный лог hijackthis.log;

[Gabidz]

Лог добавил.

[thyrex]

Плохого не видно

Установите Internet Explorer 8 (даже если им не пользуетесь)

[Gabidz]

Благодарю за помощь всех отозвавшихся!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 30
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\sopasclib.dll - Net-Worm.Win32.Kolab.joa ( DrWEB: Trojan.MulDrop1.39558, BitDefender: DeepScan:Generic.Malware.WX!.06D4662F, AVAST4: Win32:Malware-gen )
  2. c:\windows\system32\sopasvstart.dll - Net-Worm.Win32.Kolab.jpj ( DrWEB: Trojan.MulDrop1.39579, BitDefender: DeepScan:Generic.Malware.WX!.EDADE49C, AVAST4: Win32:Kolab-DN [Wrm] )
  3. \xsvr85.exe@ - Net-Worm.Win32.Kolab.jqi ( DrWEB: BackDoor.IRC.Bot.538, BitDefender: Trojan.Generic.4498965, AVAST4: Win32:Rumous [Drp] )