-
Junior Member
- Вес репутации
- 59
в начале работы svchost занимает 98% ЦП
в начале работы комп сильно тормозит.
в диспетчере задач во вкладке процессы есть процесс svhost.
в колонке ЦП все процессы по 0, а этот 99 или 98.
как его завершаешь, вроде начинает работать нормально.
так же нет иконы НОДа в трее.
прикрепляю логи:
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
одним архивом.
надеюсь на Вашу помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите Восстановление системы.
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы
c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
QuarantineFile('C:\temp\quarantin\basellnm32.dll','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\basennx32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=28317
Повторите логи.
Последний раз редактировалось wise-wistful; 18.08.2008 в 15:42.
-
Junior Member
- Вес репутации
- 59
[QUOTE=wise-wistful;269451]
отключил восстановление,
скачал, запустил.
эти файлы удалились нормально:
*******
Код:
c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
*******
а эти, не удаляются:
Код:
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
НАВЕРНО ВСЁТАКИ winhelp32.bkp
Код:
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
выполнил скрипт для AVZ, перезагрузился.
сразу выскочило окно что не может ассоциировать файл winhelp32.bkp ни с одним приложением.
прислал карантин по ссылке.
сейчас логи докину.
-
Сообщение от
wolya
а эти, не удаляются:
Код:
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
И в icesword не удаляются?
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Rene-gad
И в icesword не удаляются?
да в icesword нажимаю Force delete
и ничего не происходит.
со всеми тремя файлами:
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
Сообщение от
wise-wistful
Повторите логи.
прикрепил.
-
авз -Мастер поиска и устранения проблем - выбрать все устранить...
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
если что -то останется пофиксите ...
Код:
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-900830360-1402398058-2856507670-1124\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Kapitanov')
O4 - HKUS\S-1-5-21-900830360-1402398058-2856507670-1124\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Kapitanov')
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - S-1-5-19 Startup: winhelp32.bkp (User 'LOCAL SERVICE')
O4 - S-1-5-19 User Startup: winhelp32.bkp (User 'LOCAL SERVICE')
O4 - S-1-5-20 Startup: winhelp32.bkp (User 'NETWORK SERVICE')
O4 - S-1-5-20 User Startup: winhelp32.bkp (User 'NETWORK SERVICE')
O4 - S-1-5-21-900830360-1402398058-2856507670-1124 Startup: winhelp32.bkp (User 'Kapitanov')
O4 - S-1-5-21-900830360-1402398058-2856507670-1124 User Startup: winhelp32.bkp (User 'Kapitanov')
O4 - S-1-5-18 User Startup: winhelp32.bkp (User 'SYSTEM')
O4 - .DEFAULT User Startup: winhelp32.bkp (User 'Default user')
O4 - Startup: winhelp32.bkp
O4 - User Startup: winhelp32.bkp
O4 - Global Startup: winhelp32.bkp
O20 - AppInit_DLLs: vmmreg32.dll
повторите логи ....
-
-
Junior Member
- Вес репутации
- 59
выполнил все Ваши инструкции.
повторяю логи.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\basennx32.dll - Trojan.Win32.Agent.zkf (DrWEB: Trojan.Okuks.53)
-