Левый svchost.exe

[Veselyi_Rodger]

В компе появился левый svchost.exe, который лезет в автозагрузку. Стоит каспер, после каждой загрузки он ругается на этот экзешник, но в окошке предлагает только пропустить этот файл (удаление и личение заблокировано).
Файл располагается в папке windows (это двойник c\\windows\sistem32\svchost.exe) Можно конечно загрузиться под лайф сиди и грохнуть его, но это слишком грубо.
Помогите пожалуйсто, а то ком тормозит жутко.
Прикрепляю логи

[Гриша]

Отключите антивирус!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 DeleteService('msupdate');
 QuarantineFile('c:\windows\system32\..\svchost.exe','');
 DeleteFile('c:\windows\system32\..\svchost.exe');
 DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('msupdate');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

На такой тачке вы дальше нашего сайта не уедете

Код:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Нужно срочно установить SP3...

[Veselyi_Rodger]

Два дня комп работал нормально (четверг и пятницу). Сегодня начал выдавать ошибки.
После загрузки: Generic Host Process for Win32 Services - бнаружена ошибка. Приложение будет закрыто......
Так же не открывались эксель и досовские документы инет работал. После отключения каспера ворд с эксеслем стали открываться. Прогнал логи, сделал отчёт hijackthis (делался он как-то долго, при этом выскакивали ошибки, мол в приложении ошибки, приложение должно закрыться). Далее после стандартых скриптов и сделанного отчёта hijackthis, эксель с вордом стали работать при включенном каспере. Только проблема есть ещё одна при включенном каспере инет работает, но не долго и особенно не весело. После отключения каспера инет работает нормально почти 9 то и дело возникают какие-то ошибки в разных строках - появляется табличка с надписью ошибка в такой-то строке)
Извеняюсь, что поздно высылаю логи - раньше просто немог

[Rene-gad]

Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)


Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[Veselyi_Rodger]

Проблемы с инетом не пропали (при переходе с страницы на страницу всё так же выдаёт ошибки в строчках) Может ли помочь обновление 6-го эксплорера на 7-ой или дело в другом?
Можно обновлять сервис пак 1 сразу до сервис пака 3?
Логи прикрепляю, карантин высылаю.

[Rene-gad]

Начните с выполнения рекомендаций в плане Обновить Базы АВЗ. Сделайте новые логи со свежими базами.

[Veselyi_Rodger]

Да, во время выполнения скриптов комп самопроизвольно уходит на перезагрузку.

[Rene-gad]

Да, во время выполнения скриптов комп самопроизвольно уходит на перезагрузку.

Стандартных скриптов или наших?

[Veselyi_Rodger]

Стандартных скриптов или наших?

В том то и дело, что стандартных. Когда первый раз выполняю стандартный скрипт, уход на перезагрузку. После перезагрузки второй раз выполняю скрипт - скрипт выполняется.
После перезагркзки пишет, что система востановлена после серьёзной ошибки. Только вот востановление системы отключено (галочка стоит в Мой компьютер-свойства-востановление системы-отключить востановление системы на всех дисках)

[Rene-gad]

Обновите базы АВЗ и сделайте логи начиная от п.10 правил, т.е. стандартный скрипт 3 пока не выполняйте.

[Veselyi_Rodger]

Обновите базы АВЗ и сделайте логи начиная от п.10 правил, т.е. стандартный скрипт 3 пока не выполняйте.

Базу обновил, скрипт выполнил. Одна беда не вкладывается

[Rene-gad]

Базу обновил, скрипт выполнил. Одна беда не вкладывается

Запакуйте все в один архив, закачайте на файлообменник (narоd.ru, zalil.ru) и дайте ссылку.

[Veselyi_Rodger]

Залил однако
http://slil.ru/26056371

[Rene-gad]

Выполните скрипт.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('K:\autorun.wsh','');
 DeleteFile('K:\autorun.wsh');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Старые логи можете удалить, может тогда закачка состоится.
Новые после ребута закачайте.

[Veselyi_Rodger]

Теперь 3-ий стандартный скрипт выполняется нормально

[Rene-gad]

Драйв К:\ был подключен, когда скрипт выполняли?

[Veselyi_Rodger]

Я так понял, что вот этот : K:\autorun.wsh
Я его не отключал.

[Гриша]

Это что флешка,диск,хард?

[Veselyi_Rodger]

Это что флешка,диск,хард?

Получается этот драйвер был отключёт - К:\ это сетевое подключение. Что-то я сразу не допёр.

Добавлено через 59 минут

Теперь у меня всё чисто? Могу делать обновление сервиспака до третьего, если да, то сразу до третьего или через второй?
Ошибки при открытии страниц в инете остались, но может тут проблемы в эксплорере? Обновить эксплорер с моим сервис паком 1 до 7-го немогу (мелкомягкиене предусмотрели этого)

[Rene-gad]

Могу делать обновление сервиспака до третьего, если да, то сразу до третьего или через второй?

Если у вас система лицензионная, то можете накатывать СП3 на СП1. Возможно потребуется новая активация.
IE7 ставится на СП3 беспроблемно.