Показано с 1 по 20 из 20.

SVCHOST.EXE и XP Defender (заявка № 73927)

  1. #1
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    9
    Вес репутации
    29

    Exclamation SVCHOST.EXE и XP Defender

    Здравствуйте! Надеюсь вы сможете мне помочь!
    Заранее извиняюсь что так много написал, просто хочу дать вам как можно более полную картину.
    У меня ноутбук ACER ASPIRE 5920G, после покупки (3 года назад) я отдал его опытному программисту и он мне (за бабло) удалил лиценз Висту т.к. она постоянно вылетала и тормозила и поставил пиратку ХР сервис пак 2, все работало норм и я был доволен.
    Месяца 3-4 назад при выключении начала выскакивать ошибка "завершение не отвечающей программы GUI Main" и комп выключался только после нажатия-Завершить сейчас-Отчет на отправлять. Я не придумал ничего лучше чем восстановить систему на пару месяцев назад когда этого прогона еще на было, это не помогло. Периодически эта ошибка меня мучает по сей день. Ни знаю связано ли это как-то с тем что произошло несколько дней назад или нет. А произошло следующее:
    Последние года полтора я использую лицензионный антивирус "DR Web" оплачивая его через провайдера "дом.ру" Базы постоянно обновлены.
    Вирус, под видом процесса SVCHOST.EXE постоянно грузит процессор на 50% все программы из-за этого тормозят, если его завершить компьютер требует выключения, так-же бывает процесс CMD.EXE грузит на 30%, но его можно завершить ничего не происходит. Проводил полную проверку докторвебом результата нет. Решил попробывать откатить систему на точку восстановления на 1 марта, в процессе этого появилось какое-то лечиво по английски, я не придал значения, после востановления появился банер в виде какой-то антивирусной программы XP Defender, которая тапа сканирует систему и находит 27 разных вирусов. Данная программа полностью на английском языке, также после включения компа выскакивает окно: Центр обеспечения безопасности WINDOWS в котором Брандмауэр отключен, Авт.обновление включено, Защита от вирусов отключена. Включить которые невозможно. Так же предлагается перейти по ссылке и зарегистрировать данный продукт на пол года-49$, на год-59$, на 2 года-69$. При этом полностью нарушен функционал ОС, программы не запускаются, при наведении мышки на "Пуск"-"Программы" появляется надпись-"Пусто". Доктор веб мой кудато исчез, в трее его нет, по ярлычку не запускается. Диспетчер задач не открывается. Я решил установить и мне это удалось Касперского,пробную версию на месяц, обновил базы, задрал все настройки на максимум, очень был удивлен когда обнаружил в доверенных программах и исключениях знакомую программу SVCHOST.EXE, думаю ну все ща я победю, удалил её от туда, провел полную проверку, было найдено ограмное кол-во троянов, 1 вирус, опаснае программы, Касперский несколько раз перезагружал комп, писал что требуется специальное лечение, короче в итоге написал что удалить этот файл (SVCHOST.EXE)невозможно. Путь:C:\WINDOWS\SYSTEM32\SVCHOST.EXE, я залез вэту папку но такого файла там нет, есть просто SVCHOST, и SVCHOST(3).
    Нужно отдать ему должное долбанный банер-вымогатель XP Defender пропал, но полностью вирус не исчез, по прежнему не работают программы, эта дрянь все ещё сидит в моем компе и пытается соединится с кем-то через инет, Касперский блокирует соединение.Дословно: обнаружено зашифрованное соединение (SSL\TSL)разорвано, Путь:C:\WINDOWS\SYSTEM32\SVCHOST.EXE
    Не могу отключить восстановление системы, не работает панель управления и все программы, пишет выберите программу для открытия этого файла, запускать получается только правой клавишей и старт, ладно хоть браузер работает, сделал ровеку AVZ и логи как написано у вас, только не смог запустить их от имени админестратора т.к. требуется пароль, я пользуюсь компом один и никогда не ставил никаких паролей, может там по умолчанию какой-то пароль стоит?
    С нетерпением жду ответа!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Здравствуйте! Отключите восстановление системы!
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     QuarantineFile('c:\documents and settings\Владелец\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('c:\documents and settings\Владелец\wuaucldt.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(1);
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    9
    Вес репутации
    29
    Не могу отключить восстановление системы
    уменя Windows XP:
    Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows.
    Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer).
    появляется маленькое окно "Панель управления" надпись: C:\WINDOWS\system32\rundll32.exe Приложение не найдено. и один вариант ОК!

    Карантин прислал.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    c:\windows\system32\wuaucldt.exe
    c:\documents and settings\Владелец\wuaucldt.exe
    C:\WINDOWS\system32\regedit.exe
    Посмотрите в карантине есть ли эти файлы?
    Если есть, то пришлите согласно Приложение 3 правил

  6. #5
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    9
    Вес репутации
    29
    Нет, таких нет.
    Там есть два вот таких:
    C:\WINDOWS\system32\Drivers\cdrom.sys
    C:\WINDOWS\system32\sfcfiles.dll

    Прислать их?

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    9
    Вес репутации
    29
    Цитата Сообщение от shapel Посмотреть сообщение
    Сделайте новые логи.
    Вот они

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKCU\..\Run: [syncman] c:\documents and settings\Владелец\wuaucldt.exe
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     QuarantineFile('c:\documents and settings\Владелец\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('c:\documents and settings\Владелец\wuaucldt.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
     QuarantineFile('C:\Program Files\plugin.exe','');
     DeleteFile('C:\Program Files\plugin.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(1);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\documents and settings\Владелец\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Program Files\plugin.exe','');
     DeleteFile('C:\Program Files\plugin.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('c:\documents and settings\Владелец\wuaucldt.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
     RenameFile('%windir%\system32\rundll32.exe', '%windir%\system32\rundll32.bak');
    CopyFile('%windir%\system32\dllcache\rundll32.exe', '%windir%\system32\rundll32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(1);
    Executerepair(6);
    Executerepair(8);
    Executerepair(11); 
    Executerepair(17);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Пробуйте отключить Восстановление системы и сделайте новые логи.
    Последний раз редактировалось Шапельский Александр; 18.03.2010 в 21:30.

  11. #10
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    9
    Вес репутации
    29
    Обязательно!!! Системное восстановление!!! как- посмотреть можно тут,------ по этой ссылке я все доскональна изучил, о чем речь? вы имеете ввиду отключить восстановление системы? я не могу это сделать, т.к. описал выше. Может есть какой-то другой способ отключить его?

    Добавлено через 3 минуты

    После того как я Профиксил в HijackThis, попробывал перезагрузится, экран потемнел все перестало работать, ЖЕСТЬ, перезагрузился через просто кнопкой((((
    Последний раз редактировалось Sokol444; 18.03.2010 в 21:23. Причина: Добавлено

  12. #11

  13. #12
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    9
    Вес репутации
    29
    Да последний скрипт выполнил, кажись помогло)))) Смог отключить восстановление системы.!!!!!! Проигрыватель может воспроизводить музыкальные файлы! Ща сделаю логи и пришлю карантин.

  14. #13

  15. #14
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    9
    Вес репутации
    29
    Цитата Сообщение от shapel Посмотреть сообщение
    Ок! Ждемс
    вот

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('%windir%\system32\rundll32.bak','');
    DeleteFile('%windir%\system32\rundll32.bak');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

  17. #16
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    9
    Вес репутации
    29
    Карантин выслал. Вроде все норм работает теперь! Спасибо чуваки! Спасли меня от этого геморроя. Так что-же это было? И как это опять не подхватить? Бесит то что я плачу ежемесячно за лиценз доктор вэб и выхватываю таких головняков...

    Добавлено через 32 секунды

    а еще скрипт. щааа
    Последний раз редактировалось Sokol444; 18.03.2010 в 22:00. Причина: Добавлено

  18. #17

  19. #18
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    9
    Вес репутации
    29
    Проблема решена. Спасибо!

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    У Вас ПК не долечен, необходимо заменить C:\WINDOWS\system32\Drivers\cdrom.sys этот файл из дистрибутива.
    Как правильно заменить файл см. здесь--http://virusinfo.info/showthread.php?t=51654
    Затем сделайте логи!
    Последний раз редактировалось Шапельский Александр; 20.03.2010 в 23:26.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\cdrom.sys - Rootkit.Win32.Agent.bdzp ( DrWEB: Win32.Lutin.2, BitDefender: Gen:Heur.Krypt.3 )
      2. c:\windows\system32\drivers\cdrom.sys - Rootkit.Win32.Agent.bdzq ( DrWEB: Win32.Lutin.2, BitDefender: Gen:Heur.Krypt.3 )


  • Уважаемый(ая) Sokol444, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус PC Defender
      От deco90 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 11.09.2010, 22:52
    2. PC Defender
      От helpzconnet в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.08.2010, 12:12
    3. Вирус XP DEFENDER!
      От atc05 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.04.2010, 14:46
    4. Hacker Defender
      От Ivanon в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 12.06.2009, 11:46
    5. Win PC Defender
      От AlexJan в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.04.2009, 21:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00036 seconds with 16 queries