svhost.exe addrive32.exe jodrive32.exe

[SantaBarbara]

Здравствуйте. В начале появилась проблема с svhost.exe Периодически вылазит сообщение: svhost.exe-ошибка приложения. Инструкция обратилась по адресу "0x6fe216e2" обратилась к памяти по адресу "0x032f005c". Память не может быть "written". В общем то если его просто отодвинуть-то все нормально дальше работает, а если нажать закрыть или Ок-то рабочий стол меняется, отключ инет, звук пропадает..
Потом появился addrive32.exe который отключает интернет через пару минут и создает всякие файлы .tmp и .exe Облазила пол интернета, как только не пыталась-все равно после перезагрузки опять вылазит. А сейчас стало еще веселее- появился jodrive32.exe (я подозреваю его предыдущий наверно как то загрузил). В общем чистила и виндоус и систем32 и апликейшн дата и реестр-результата нет. Я в компах не очень понимаю-все методом тыка, проб и ошибок. Вроде по инструкции логи делала, только нод не смогла отключить...
В общем, помогите пожалуйста! Надоело в диспетчере эти процессы отключать каждые 5 минут

[Info_bot]

Уважаемый(ая) SantaBarbara, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\28.exe','');
 QuarantineFile('C:\WINDOWS\system32\15.exe','');
 QuarantineFile('C:\WINDOWS\system32\07.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\    wfixer        c a  r        d      .cmd','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 QuarantineFile('C:\Documents and Settings\USER\Application Data\Vmvkvf.exe','');
 QuarantineFile('C:\Documents and Settings\USER\Application Data\Pkvkvz.exe','');
 TerminateProcessByName('c:\windows\jodrive32.exe');
 QuarantineFile('c:\windows\jodrive32.exe','');
 DeleteFile('c:\windows\jodrive32.exe');
 DeleteFile('C:\Documents and Settings\USER\Application Data\Pkvkvz.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pkvkvz');
 DeleteFile('C:\Documents and Settings\USER\Application Data\Vmvkvf.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vmvkvf');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\    wfixer        c a  r        d      .cmd');
 DeleteFile('C:\WINDOWS\system32\07.exe');
 DeleteFile('C:\WINDOWS\system32\15.exe');
 DeleteFile('C:\WINDOWS\system32\28.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)

Обновите базы AVZ

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[SantaBarbara]

Забыла еще написать что мои документы при загрузке начали открываться и ошибка эксплорер ехе переодически вылазит.
Лог сделала-загрузился без открытия мои документы, однако в процессах было два addrive32. При следующей перезагрузке мои документы опять начали открываться, вылезла ошибка syitm.exe приложение будет закрыто, в процессах htvdm.exe dwwin.exe addrive32.exe и всякие 62.tmp 83.tmp Пока их не остановишь-интернет не работает.
В общем ниче не помогло.
Новые логи выкладываю и вопрос про malwarwbytes-надо удалять, то что он нашел? Пока ниче не трогала.
По прежнему надеюсь на чудесное исцеление компьютера с вашей помощью)
Файл карантина отправила

[Nikkollo]

В указанной последовательности:

Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\aadrive32.exe');
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 TerminateProcessByName('c:\documents and settings\user\application data\5f.tmp');
 DeleteFile('c:\documents and settings\user\application data\5f.tmp');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 DeleteFile('c:\windows\aadrive32.exe');
 DeleteFile('C:\Documents and Settings\USER\Application Data\Vmvkvf.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vmvkvf');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\    winfixer        c a  r        d      .cmd');
 DeleteFile('C:\WINDOWS\system32\34.exe');
 DeleteFile('C:\WINDOWS\system32\46.exe');
 DeleteFile('C:\WINDOWS\system32\66.exe');
 DeleteFile('C:\WINDOWS\system32\74.exe');
 DeleteFile('C:\WINDOWS\system32\76.exe');
ExecuteWizard('SCU', 2, 2, true);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Удалите в МВАМ все найденное, кроме этих строк:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.

Сделайте заново лог МВАМ и приложите в теме.

[SantaBarbara]

В процессах 23C.tmp 32A.tmp После выполнения скрипта был джодрайв-щас пока не видно.

[thyrex]

Вы обновления установили для системы? Без них юороться с сетевым червяком бесполезно

[SantaBarbara]

Я устанавливала, но установились не все. Ошибку выдает. Винда не лиценз-может в этом причина?
А без этих обновлений значит вообще никак?

[Nikkollo]

Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.

После этого сделайте заново лог virusinfo_syscheck.zip и приложите в теме.

[SantaBarbara]

Че то у меня вообще уже руки опускаются и надежда на исцеление пропадает. Зашла посмотрела-опять куча всяких ехе и тмр... Щас еще гугли хром почему то в процессах старым стал (пишет олд хром) и значок пропал. В логе написано подмена диспетчера задач...Блин комп вообще своей жизнью живет..
Обновления установила по ссылкам на флеш и акробат. А ссылку на загрузку микрософт системы безопасности он не хочет открывать. Страница сама открывается, а там где загрузка должна быть-все никак. Невозможно отобразить страницу.

[thyrex]

Сделайте лог ComboFix

[SantaBarbara]

лог

[thyrex]

Что сейчас с проблемой?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 24
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\user\\application data\\pkvkvz.exe - Worm.Win32.Ngrbot.fyo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Tofsee.1, AVAST4: Win32:Kolab-MX [Trj] )
  2. c:\\documents and settings\\user\\application data\\vmvkvf.exe - Worm.Win32.Ngrbot.fyw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.6699390, AVAST4: Win32:Kolab-MX [Trj] )
  3. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ wfixer c a r d .cmd - Worm.Win32.Ngrbot.fyw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Zusy.119, AVAST4: Win32:Kolab-MX [Trj] )
  4. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan.Win32.VBKrypt.hcet ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.144562, AVAST4: Win32:VB-YUE [Trj] )
  5. c:\\windows\\jodrive32.exe - Trojan.Win32.VBKrypt.hces ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.6701411, NOD32: IRC/SdBot trojan, AVAST4: Win32:VB-YUE [Trj] )
  6. c:\\windows\\system32\\07.exe - Worm.Win32.Ngrbot.fyw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Zusy.119, AVAST4: Win32:Kolab-MX [Trj] )
  7. c:\\windows\\system32\\15.exe - Worm.Win32.Ngrbot.fyw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.6716844, AVAST4: Win32:Kolab-MX [Trj] )
  8. c:\\windows\\system32\\28.exe - Worm.Win32.Ngrbot.fyw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Zusy.119, AVAST4: Win32:Kolab-MX [Trj] )