Svchost.exe загрузка цп 99%

**naikonsha** · 18.07.2010, 10:36

Блин всю ночь с ComboFix провозился он делает у меня проверку блин часов за пять а потом удаляет какие то файлы и пишет ошибка там чё то про NT какие то файлы не являются вообщем бред и не создает лог есть тока карантин и всё... низнаю что делать... есь какой нибуть другой способ ?

Вот у меня какие файлы после проверки остаются

RSIT добавил логи и mbam

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 18.07.2010, 15:19

C:\WINDOWS\system32\sfcfiles.dll замениет чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654

После этого новый лог МВАМ

**naikonsha** · 18.07.2010, 18:53

Включил комп теперь на сайты антивирусников не заходит пришлось сюда добираться через анонимоус.... пока посмотрю что там за дистрибут

**naikonsha** · 18.07.2010, 21:16

Я значит как сделал. У меня не получилось Live CD скачать и через командную строку потому что пробовал не получилось не чего я просто вставил диск с Window's зашел в безопасный режим и просто скопировал с диска и вставил туда заменил. Включил процессы все работают нормально ЦП упало. Но на сайты не заходило антивирусников я зашел в папку system32 там было куча файлов типо 6e8e1800.exe и ещё shoume.exe я их удалил с помощью Unlockera потом hijacks профиксил F2-REG:system.ini UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\6e8e1800.exe,C:\WINDOWS\system32\shoum e.exe, и сделал "Пуск > Выполнить > route -f" перезагрузил и заработали сайты.
Высылаю лог !

**thyrex** · 18.07.2010, 21:22

Удалите ComboFix

Удалите в МВАМ

Код:

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6e8e1800.exe,C:\WINDOWS\system32\shoume.exe,) Good: (userinit.exe) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

**naikonsha** · 18.07.2010, 21:23

А всё допер )) Что после этого ?

**thyrex** · 18.07.2010, 21:46

Новый лог МВАМ (по ссылке так и написано было)

**naikonsha** · 18.07.2010, 21:57

Извините туплю иногда. Бывает. Удалил ComboFix через выполнить, сделал скан ОТС. И ещё вопрос поле ComboFix остались 2 файла на диске С "cmldr" и "boot.bak" что с ними делать просто удалить ? Выполнил проверку удалил всё что сказано.
Вот новый лог MBAM.

**thyrex** · 18.07.2010, 22:05

Покажите содержимое файлов boot.ini и boot.bak

**naikonsha** · 18.07.2010, 22:07

Там только boot.bak. boot.ini нету они у меня ещё показаны на рисунке выше

**thyrex** · 19.07.2010, 16:04

Панель управления - Свойства системы - Дополнительно - область Загрузка и восстановление - Настройка - Правка

Отредактировать содержимое файла, удалив строку с Recovery Console

**naikonsha** · 19.07.2010, 16:44

Удалил

**CyberHelper** · 20.07.2010, 16:44

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwznv32.exe - Backdoor.Win32.Bredavi.dhi ( DrWEB: Trojan.MulDrop1.39578, AVAST4: Win32:Crypt-GWL [Drp] )
2. c:\program files\internet explorer\setupapi.dll - Trojan.Win32.BHO.aihr ( DrWEB: Trojan.BhoSiggen.3723, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Rootkit-gen [Rtk] )