Ошибка svchost.exe [not-a-virus:RiskTool.Win32.BitCoinMiner.frk, Backdoor.Win32.Azbreg.xhh ]

**SVCha** · 02.11.2013, 23:13

Здравствуйте. В последнее время начала появляться ошибка svchost.exe "в устройстве нет диска. Вставьте диск в устройство \Device\Harddisk1\DR1". Раньше с таким не сталкивался, поэтому не знаю, как поступить, само окно не закрывается. Произошло это после того, как вынул usb провод от телефона из компьютера. После этого пытался опять подключить usb к компьютеру, но проблема не исчезла. Очень надеюсь на вашу помощь. Заранее благодарен!
Вложение 444347

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.11.2013, 23:14

Уважаемый(ая) SVCha, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 03.11.2013, 01:31

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\LcXVjskuNAVcLk.exe','');
 QuarantineFile('C:\Users\Стас\AppData\Roaming\ScreenSaverPro.scr','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5826412\absprox.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5332112\xyzpro00.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5332112\xyzpro00.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5826412\absprox.exe','32');
 DeleteFile('C:\Users\Стас\AppData\Roaming\ScreenSaverPro.scr','32');
 DeleteFile('C:\Windows\system32\LcXVjskuNAVcLk.exe','32');
BC_ImportDeletedList;
ExecuteSysClean;
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','WxtwcVtHvs_dwOiEixJBqPKtxH');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hoolapp Android');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ralalr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Walalw');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
ExecuteWizard('TSW',3,3,true);
ExecuteWizard('SCU',3,3,true);
ExecuteRepair(3);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

**SVCha** · 03.11.2013, 18:51

архив карантина отправил. Ниже прикрепляю архив virusinfo_syscheck.zip

**Vvvyg** · 03.11.2013, 19:12

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
 DeleteService('syshost32');
 TerminateProcessByName('c:\users\Стас\appdata\roaming\d7e7.exe');
 QuarantineFile('c:\users\Стас\appdata\roaming\d7e7.exe','');
 DeleteFile('c:\users\Стас\appdata\roaming\d7e7.exe','32');
 DeleteFile('C:\Windows\Installer\{08072231-7853-5C52-5847-27A338210EC0}\syshost.exe','32');
 DeleteFile('C:\Users\Стас\AppData\Roaming\ScreenSaverPro.scr','32');
BC_ImportDeletedList;
ExecuteSysClean;
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

**SVCha** · 03.11.2013, 20:30

после выполнения скрипта и перезагрузки ошибка кажется исчезла. Прислать запрошенный карантин не могу, пишет, что файл был загружен ранее.

**Vvvyg** · 03.11.2013, 21:56

Жду полный образ автозапуска uVS.

**SVCha** · 05.11.2013, 15:37

не могу сделать образ автозапуска, программа не отвечает при попытке его создать

**Vvvyg** · 05.11.2013, 15:55

Сделайте из безопасного режима.

**SVCha** · 05.11.2013, 23:54

Готово, образ во вложении

**Vvvyg** · 06.11.2013, 00:16

Выполните скрипт в uVS:

Код:

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

offsgnsave

; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5826412\ABSPROX.EXE
addsgn 1A58099A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 24 Trojan-Proxy.Win32.Lethic.bkp

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5826412\ABSPROX.EXE
; C:\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\FALALF.EXE
addsgn 1A5A099A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 32 Win32/Dorkbot.B [ESET-NOD32]

zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\FALALF.EXE
; C:\USERS\СТАС\APPDATA\ROAMING\SCREENSAVERPRO.SCR
addsgn 1A28FF9A5583C58CF42B254E3143FE86C99AAA09FCF69235752B1751AF29FA392B187D516EBD9BC22B80076723FD45BC7269EE22BD6E392C2DF26476B2F72DCD 32 SCREENSAVERPRO.SCR

zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\SCREENSAVERPRO.SCR
; C:\USERS\СТАС\APPDATA\ROAMING\TEMP.BIN
; C:\RECYCLER\WEBHOST.EXE
addsgn 1A09509A5583C58CF42B254E3143FE8E6082CF3FB2FED2609582C5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB256E459BB071EE72E0D038F9487D 32 Trojan:Win32/Lethic.B [Microsoft]

zoo %SystemDrive%\RECYCLER\WEBHOST.EXE
delref HTTP://WWW.TOP-PAGE.RU/3
chklst
delvir

deltmp
regt 12
restart

Компьютер перезагрузится.

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

**SVCha** · 06.11.2013, 16:42

http://rghost.ru/49979485 вот полный образ автозапуска, архив ZOO уже отправил

**Vvvyg** · 06.11.2013, 21:00

Выполните скрипт в uVS:

Код:

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo C:\USERS\СТАС\APPDATA\ROAMING\4C4D.EXE
addsgn 1A09509A5583C58CF42B254E3143FE8E6082CF3FB2FED2609582C5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB256E459BB071EE72E0D038F9487D 32 Trojan:Win32/Lethic.B [Microsoft]

zoo C:\USERS\СТАС\APPDATA\ROAMING\56D9.EXE
addsgn 1A58099A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 24 Trojan-Proxy.Win32.Lethic.bkp

zoo C:\RECYCLER\WEBHOST.EXE
; C:\USERS\СТАС\APPDATA\ROAMING\3735.EXE
addsgn 9A6C50DA5582BC8DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC01BF19FE5750ED139935319452D37F67461649FA7DDFE97255DABD260D57846D89477D38 24 Trojan.Winlock.6173 [DrWeb]

zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\3735.EXE
; C:\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\GALALG.EXE
; C:\USERS\СТАС\APPDATA\ROAMING\43F3.EXE
addsgn 1A946A9A5583D98CF42B95BC3418520550880F356005027885483AE9DB3A22C77E1F40ACDE22F21F7C03B9FFA05649FA08C700925BDAB046339F8E22C7064A8C 8 Trojan.PWS.Panda.547 [DrWeb]

zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\43F3.EXE
delref %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\FALALF.EXE
delref %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\SCREENSAVERPRO.SCR
; C:\USERS\СТАС\APPDATA\ROAMING\MINERG.EXE
addsgn 9252626A146AC1CCE0CB504EA34F72E6278A253F561348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 16 Tool.BtcMine.130 [DrWeb]

zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MINERG.EXE
chklst
delvir

del %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\ZLIB1.DLL
del %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\PTHREADGC2.DLL
del %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\LIBCURL-4.DLL
deltmp
restart

Компьютер перезагрузится.

Уведомление

Сразу загрузите систему в безопасном режиме с поддержкой сети.

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

**SVCha** · 07.11.2013, 12:06

http://rghost.ru/49996319

**SVCha** · 07.11.2013, 12:06

готово, zoo отправил, вот ссылка на образ http://rghost.ru/49996319

**CyberHelper** · 07.11.2013, 12:16

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 24
В ходе лечения обнаружены вредоносные программы:
1. \\absprox.exe._4806fdcd09ed06575d41123b8ad7fa62b15 24969 - Trojan-Proxy.Win32.Lethic.bkp ( BitDefender: Gen:Variant.Symmi.34499, AVAST4: Win32:Zbot-RZD [Trj] )
2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-5332112\\xyzpro00.exe - Trojan-Proxy.Win32.Lethic.bko ( BitDefender: Trojan.GenericKD.1371772, AVAST4: Win32:Malware-gen )
3. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-5826412\\absprox.exe - Trojan-Proxy.Win32.Lethic.bkp ( BitDefender: Gen:Variant.Symmi.34499, AVAST4: Win32:Zbot-RZD [Trj] )
4. c:\\users\\стас\\appdata\\roaming\\screensaverpro. scr - Worm.Win32.Ngrbot.vun ( AVAST4: Win32:Dropper-gen [Drp] )
5. c:\\windows\\system32\\lcxvjskunavclk.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Winlock.6673, BitDefender: Trojan.Generic.KD.710108, AVAST4: Win32:Urausy [Trj] )
6. \\falalf.exe._ba5388346df3e67db3b5e9152c5c300043a7 2156 - Worm.Win32.Ngrbot.vtz ( BitDefender: Trojan.GenericKDV.1374193, AVAST4: Win32:Dorkbot-CV [Trj] )
7. \\minerg.exe._21fc58fd31d322ded4ee46da32cfe38bbf63 9795 - not-a-virus:RiskTool.Win32.BitCoinMiner.frk ( DrWEB: Tool.BtcMine.130, BitDefender: Application.BitCoinMiner.BK )
8. \\webhost.exe._ade6edd04dd604081d9fd5b84c5375b7c03 08861 - Backdoor.Win32.Azbreg.xhh ( BitDefender: Trojan.GenericKD.1366104, AVAST4: Win32:Kryptik-NCX [Trj] )
9. \\3735.exe._7fa61b39182b065d5320c00b709d3eeea3b3a8 53 - Trojan.Win32.Sharik.qmr ( BitDefender: Trojan.GenericKD.1377391, AVAST4: Win32:Dropper-NKI [Drp] )
10. \\4c4d.exe._ade6edd04dd604081d9fd5b84c5375b7c03088 61 - Backdoor.Win32.Azbreg.xhh ( BitDefender: Trojan.GenericKD.1366104, AVAST4: Win32:Kryptik-NCX [Trj] )
11. \\43f3.exe._e94abe5e8f4ed0b3d1cdca937f6b2633372ba5 53 - Trojan-Spy.Win32.ZBot.qolu ( BitDefender: Trojan.Generic.9837719, AVAST4: Win32:Malware-gen )
12. \\56d9.exe._7f06d29aef4b8b6886fca7062063db486efe6b 33 - Trojan.Win32.Yakes.dndq ( BitDefender: Trojan.GenericKD.1376076, AVAST4: Win32:Zbot-RZD [Trj] )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Ошибка svchost.exe [not-a-virus:RiskTool.Win32.BitCoinMiner.frk, Backdoor.Win32.Azbreg.xhh ] (заявка № 148673)

Опции темы

Ошибка svchost.exe [not-a-virus:RiskTool.Win32.BitCoinMiner.frk, Backdoor.Win32.Azbreg.xhh ]

Образ

Уведомление

Итог лечения

Похожие темы

выскакиваtn ошибка Виндовз \"Svchost.exe - Ошибка приложения\" (заявка №42331)

Ошибка Svchost

у меня выскакивает ошибка svchost.exe ошибка приложения инструкция по адресу 0x6fe217c2

ошибка svchost.exe

Постоянно выскакивает ошибка при загрузке svchost.exe - ошибка приложения

Метки для этой темы

Ваши права в разделе