Показано с 1 по 19 из 19.

svchost.exe и прочее (заявка № 27112)

  1. #1
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    9
    Вес репутации
    35

    Thumbs up svchost.exe и прочее

    Симптомы: в диспетчере задач висит процесс svchost.exe и загружает процессор не менее чем на 50%. Антивирус умер, стоял доктор веб, базы были неактуальны. При попытке переустановки антивируса (пробовал доктор веб и касперский) выдается ошибка и установка прекращается (установка не может скопировать файлы с расширением *.avz). При запуске проверки CureIT выходит BSOD и система перезагружается. При распаковке AVZ, скачанной по ссылке с вашего сайта, так же не распаковываются фалы с расирением *.avz. Распаковал архив на флэшку на другом компьютере, запускаю программу на зараженном. Сначала выходит ошибка "не могу прочитать файл. Недостаточно квот для выполнения операции", файл так же с расширением *.avz. После закрытия этой ошибки прога запускается, но с корявыми шрифтами и сразу вылезает куча ошибок Access violation. В проге сделать ничего нельзя. Переименование исполняемого фалйа результатов не дает. HiJackThis запустился, лог прикладываю.

    ps. Зараженный компьютер - ноутбук, винт не получится подрубить к другому компу для проверки. Все операции были повторены так же в безропасном режиме с теми же результатами

    обещанное вложение...
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 26.07.2008 в 20:13.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    pingpong.pif - переименованный спец. AVZ http://rapidshare.com/files/116949749/pingpong.pif.html

    Сделайте логи им.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Какой результат? Вы его скачали и запустили? Эта версия не в архиве и у нее нет файлов *.avz
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  5. #4
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    9
    Вес репутации
    35
    Цитата Сообщение от kps Посмотреть сообщение
    Какой результат? Вы его скачали и запустили? Эта версия не в архиве и у нее нет файлов *.avz

    Прошу прощения. Программа запустилась, идет сканирование... Скоро выложу результаты

    Добавлено через 21 минуту

    Программа запустилась, обновление баз было недоступно. База поcледний раз обновлялась 23.04.2008. Скрипт смог прогнать только после того, как запустил AVZGuard, без этого система сваливалась в BSOD.
    Последний раз редактировалось timur_nagimov; 26.07.2008 в 20:44. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    9
    Вес репутации
    35
    логи...
    Вложения Вложения
    Последний раз редактировалось kps; 26.07.2008 в 21:11. Причина: удалил карантин

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ (pingpong.pif) :
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\Documents and Settings\enzo_matrix\cmanger.exe','');
     QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\HPDFlt.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\HPSenMgr.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\MLowCtl.sys','');
     QuarantineFile('C:\WINDOWS\system32\fsxxd.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ewj59.sys','');
     QuarantineFile('C:\WINDOWS\system32\ATGINA.DLL','');
     QuarantineFile('C:\WINDOWS\System32\lstream.dll','');
     QuarantineFile('c:\windows\system32\userinit.exe','');
     DeleteFile('C:\WINDOWS\System32\lstream.dll');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\Ewj59.sys');
     DeleteFile('C:\WINDOWS\system32\fsxxd.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe');
    DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('fsxxd');
    BC_DeleteSvc('Ewj59');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27112 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    9
    Вес репутации
    35
    Новые логи. Компьютер уже заметно стабильнее и быстрее начал работать
    Вложения Вложения
    Последний раз редактировалось kps; 26.07.2008 в 22:16. Причина: Удалил карантин

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\System32\lstream.dll');
    DelWinlogonNotifyByKeyName('lstream');
    BC_ImportDeletedList;
    SysCleanAddFile('C:\Documents and Settings\enzo_matrix\cmanger.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    c:\windows\system32\userinit.exe - этот системный файл у Вас подменен зловредом. Обязательно замените его на чистый из дистрибутива или с другой чистой системы (замену лучше проводить из консоли восстановления).

    Программу FolderLock Вы устанавливали?

    Такой большой файл Hosts Вам нужен? В нем много записей - его можно почистить.

    Вот это Вам знакомо?:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E173560B-34E8-49A3-9E30-8E3E58F60D55}: NameServer = 83.174.193.227,83.174.192.227
    Если незнакомо, то пофиксите в HijackThis эту строчку.

    Сделайте новые логи.
    Последний раз редактировалось kps; 26.07.2008 в 22:56.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    9
    Вес репутации
    35
    FolderLock сам ставил, ип адреса -адреса днс серверов провайдера. userinint за что отвечает? Не за экран выбора пользователей при загрузке винды? просто он изменился после установки одного из драйверов. Про файл Hosts тоже не понятно мне, где его настраивать? Не про файл подкачки вы говорите? логи утром выложу...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    userinit.exe - системный файл, необходимый для загрузки системы. У Вас он подменен зловредом. Это не предположение, а факт - я его проверил.
    Поэтому замените его на чистый, как я написал.

    Про файл Hosts можете почитать здесь http://virusinfo.info/showthread.php?t=1328
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    9
    Вес репутации
    35
    вобщем вот какая ситуация получилась. я запустил ваш последний скрипт, поставил доктор веб (он нормально установился и скачал последние базы, чего до этого сделать не получалось). Перезагрузил компьютер. После выбора пользователя начинается загрузка системы, и тут же идет завершение сеанса и система возвращается к выбору пользователя. То же самое и при загрузке в безопасном режиме. Попробовал прогнать установку windows в режиме восстановления, результатов это не дало. Пишу сейчас с другого компьютера, на том сейчас нельзя работать никак, только из командной строки если. Подскажите, что делать...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Я же Вам говорил, замените userinit.exe на чистый. Вы этого не сделали. Вот и пожинаете теперь плоды.. ДрВеб его удалил, потому что это зловред, но не заменил (антивирус - это не искуственный интеллект), вот у Вас теперь и проблема.

    Решение проблемы: зайдите в консоль восстановления или загрузитесь с загрузочного диска типа BartPE и положите чистый (из дистрибутива или с чистой системы) файл userinit.exe в папку c:\windows\system32\
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от timur_nagimov Посмотреть сообщение
    доктор веб (он нормально установился и скачал последние базы, чего до этого сделать не получалось).
    А кто базы АВЗ обновлять будет?
    Внимание !!! База поcледний раз обновлялась 23.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Сегодня м.п. 27.07.2008

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А кто базы АВЗ обновлять будет?
    Там базы не обновляются - полиморфная версия
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    9
    Вес репутации
    35
    Сори... Самодеятельностью решил заняться блин... Заменил userinit.exe, компьютер загрузился.

    последние логи...
    Вложения Вложения
    Последний раз редактировалось kps; 27.07.2008 в 17:17. Причина: Удалил карантин

  17. #16
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    9
    Вес репутации
    35
    еще один файл, не тот грузил...
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    В логах ничего подозрительного.
    Я бы почистил файл Hosts таким скриптом в AVZ:
    Код:
    begin
    ClearHostsFile;
    end.
    И еще отключите на всякий случай восстановление системы, чтобы удалить возможные копии зловредов и снова включите.
    Какие-то проблемы остались?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  19. #18
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    9
    Вес репутации
    35
    Файл hosts почистил, там куча адресов были завязаны на 127.0.0.1, в том числе сайты каспесркого и микрософта. На данный момент компьютер работает стабильно, антивирус стоит и обновляется. Большое спасибо за помощь. желаю вам по-меньше таких вот как я шибко самостоятельных юзеров

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 34
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\isi32.exe - Trojan.Win32.Pakes.jzm (DrWEB: Trojan.Packed.162)
      2. c:\\windows\\system32\\drivers\\ewj59.sys - Rootkit.Win32.Qandr.gm (DrWEB: Trojan.Spambot.3201)
      3. c:\\windows\\system32\\lstream.dll - Trojan-Spy.Win32.Goldun.aob (DrWEB: Trojan.PWS.GoldSpy.origin)
      4. c:\\windows\\system32\\userinit.exe - Packed.Win32.Klone.av (DrWEB: Trojan.DownLoad.1126)


  • Уважаемый(ая) timur_nagimov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan-PSW.Win32.Agent.mzh в svchost.exe/svchost.exe
      От Geonov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.09.2009, 17:51
    2. Ответов: 6
      Последнее сообщение: 30.06.2009, 20:22
    3. svchost.exe
      От DihaZ в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:51
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 06:47
    5. Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe
      От Кабанчик в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00175 seconds with 17 queries