Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

svchost и проблемы с экспловером (заявка № 16977)

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    17
    Вес репутации
    37

    Thumbs up svchost и проблемы с экспловером

    Работаю в локальной сети - сервер и три компьютера. Никаких наворотов - только общий доступ к инету и принтеру.
    Изменились настройки IE - отключилась JAVA - как подключить обратно - х.з. (чайник я)
    В-общем приходится сидеть в Опере, но и она начинает дурить
    Короче не все ссылки открываются - это в IE (может из-за той же JAVA), пропал поиск в Оффисе.
    Да - крякнул Касперский, щас без Антивируса

    Будете объяснять как лечить - подоходчивее пожалуйста
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('NetDDEUPS', 4);
     StopService('NetDDEUPS');
     QuarantineFile('c:\windows\system32\msab.exe','');
     QuarantineFile('svchost.exe','');
     QuarantineFile('rdpclicw.dll','');
     QuarantineFile('scp3sdhc.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rtifdh.sys','');
     QuarantineFile('C:\Program Files\NetPanel\IEHelper.dll','');
     QuarantineFile('C:\WINDOWS\system32\2052l.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\rtusb.SYS','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('c:\windows\system32\msjh32.dll','');
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
     QuarantineFile('c:\windows\soundman.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe','');
     DeleteFile('C:\WINDOWS\system32\cpadvai.dll');
     DeleteFile('C:\WINDOWS\system32\2052l.exe');
     DeleteFile('c:\windows\system32\msjh32.dll');
     DeleteFile('scp3sdhc.dll');
     DeleteFile('rdpclicw.dll');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     DeleteService('NetDDEUPS');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportALL;
     ExecuteRepair(6);
     ExecuteRepair(7);
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16977

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     	O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
    O20 - AppInit_DLLs: scp3sdhc.dll rdpclicw.dll
    O20 - Winlogon Notify: ccfgcscd - C:\WINDOWS\
    O20 - Winlogon Notify: dx8vndde - C:\WINDOWS\
    O21 - SSODL: msjh32.dll - {34D5DEF9-1DA3-49E1-F83D-DA0875193340} - c:\windows\system32\msjh32.dll
    Файл host вы патчили?
    Повторите логи...
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    17
    Вес репутации
    37
    Спасибо за внимание.
    Скрипт выполнил, карантин отправил.
    Правда после скрипта - при перезагрузке завис на отключении сетевых подключений, пришлось по-жёсткому перезагружаться.
    Потом начал фиксить. При первой попытке - комп вылетел на перезагрузку, со второй получилось, правда не нашёл строку
    O20 - AppInit_DLLs: scp3sdhc.dll rdpclicw.dll
    Получилась папка backups - что с ней делать?
    А фраза:
    Файл host вы патчили?
    Повторите логи... - меня убила
    Знать бы - чё это

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Val64 Посмотреть сообщение
    Получилась папка backups - что с ней делать?
    А фраза:
    Файл host вы патчили?
    Повторите логи... - меня убила
    Знать бы - чё это
    backups пока не трогайте, после лечения можно будет удалить.
    hosts стало быть не патчили, раз не знаете.
    Повторить логи, значит заново выполнить п.8-13 правил и прикрепить полученные файлы.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    17
    Вес репутации
    37
    Уфффф
    Начал выполнять скрипт №3 - полезло окошко с ошибкой карантина - бесконечное...
    перезагрузился, снова та жа беда.
    Переустановил АВЗ в другом месте - пролезло
    Высылаю
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    not-a-virus:AdWare.Win32.BHO.kl IEHelper.dll
    Выполните
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ClearHostsFile;
     DelCLSID('34D5DEF9-1DA3-49E1-F83D-DA0875193340');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\srv.sys','');
     QuarantineFile('C:\WINDOWS\system32\OPDSL.dll','');
     QuarantineFile('c:\windows\system32\msbk32.dll','');
     DeleteFile('c:\windows\system32\msbk32.dll');      
     DeleteFile('C:\Program Files\NetPanel\IEHelper.dll');  
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Новый карантин тоже пришлите

  8. #7
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    17
    Вес репутации
    37
    Докладаю - отправил по верхней ссылке

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    c:\windows\system32\msbk32.dll - Trojan.PWS.OnlineGames.OOX
    C:\WINDOWS\system32\OPDSL.dll - чистый
    srv.sys - прошел по базе безопасных ...
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    17
    Вес репутации
    37
    Короче всё - не даёт делать логи
    Начинает вылазить многократное (бесконечное) окошко - ошибка в АВЗ по адресу 0040254С
    Я и перегружался и переустанавливал АВЗ в разных местах - абзац в-общем

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    ну нечему не давать делать логи ....
    - выполните стандартный скрипт 6 ...
    если не поможет сделайте принтскрин ошибки авз ...
    и приложите лог virusinfo_syscheck.zip

  12. #11
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    17
    Вес репутации
    37
    Ух поймал бы я этого рапространителя вирусов
    Короче действовал так:
    Скрипт №6, потом №3
    Перезагрузка
    №2 - посередь работы АВХ закрылась
    Пришлось снова №6 и №2
    Вот
    До завтра
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Больше ничего подозрительного не видно.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\NetPanel\IEHelper.dll (file missing)
    O21 - SSODL: msbk32.dll - {34D5DEF9-1DA3-49E1-F83D-DA0875193340} - (no file)
    Посмотрите, нужно ли вам что-либо из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    Лишнее отключим.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    17
    Вес репутации
    37
    Пофиксил.
    А насчёт служб - ничё не понимаю в этом
    Комп рабочий - локальная сеть - сервер и 3 компа.
    Основная общая инфа на сервере, но у меня на С и D тоже есть используемая всеми рабочая документация.
    И ещё - как провериться, что я теперь чистый?

    Добавлено через 3 часа 38 минут

    Ну всё - нарисовали мне восклицательный палец, можно и забыть
    Делаю проверку АВЗ. Она выдаёт:
    Функция kernel32.dlloadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D22FD]
    Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541]
    Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
    Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
    Это не страшно?
    Последний раз редактировалось Val64; 29.01.2008 в 12:36. Причина: Добавлено

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Крипто Про есть на машине?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Да.
    Код:
    O23 - Service: Служба инициализации Крипто-Про CSP (cpinit) - Компания Крипто-Про - C:\Program Files\Crypto Pro\CSP\cpinit.exe
    O23 - Service: Служба хранения и использования ключей Крипто-Про CSP (cprmcsp) - Компания Крипто-Про - C:\Program Files\Crypto Pro\CSP\cprmcsp.exe

  17. #16
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    17
    Вес репутации
    37
    Всё правильно - есть

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Боюсь, что ее поломали. Удалили библиотеку C:\WINDOWS\system32\cpadvai.dll
    Если будут проблемы, то можно попробовать восстановить из карантина.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    17
    Вес репутации
    37
    Чё то не нашёл я такой библиотеки в Систем32
    А крипто - наверно можно переустановить?
    Или не поможет?

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Можно и переустановить. Так наверное надежное будет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    17
    Вес репутации
    37
    Спасибо.
    Сделаем

  • Уважаемый(ая) Val64, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Проблемы с svchost.
      От zhefran в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.04.2010, 13:49
    2. проблемы с svchost.exe и ccdrive32.exe
      От ghoust в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.02.2010, 11:43
    3. Проблемы с svchost
      От Blysys в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 09:29
    4. проблемы с svchost
      От Angelisk в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.01.2009, 09:07
    5. Ещё проблемы с svchost.exe
      От НиколайКа в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 06.09.2006, 07:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00856 seconds with 17 queries