Всем привет.Svchost.exe грузит процессор на 50%, думаю что вирус.
Сканирование dr.Web, AVPTool и CureIt не помогло.
В автозагрузке появился подозрительный wwwzuc32.exe, который никак оттуда не удаляется.
Всем привет.Svchost.exe грузит процессор на 50%, думаю что вирус.
Сканирование dr.Web, AVPTool и CureIt не помогло.
В автозагрузке появился подозрительный wwwzuc32.exe, который никак оттуда не удаляется.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:O2 - BHO: (no name) - {0edc6c20-a31c-11db-8ab9-0800200c9a66} - (no file) O2 - BHO: (no name) - {3AAC4C68-AFC8-11DB-80EF-8AF955D89593} - (no file) O2 - BHO: (no name) - {631f7200-642e-11db-bd13-0800200c9a66} - (no file) O2 - BHO: Skype Control Class - {9018F6A8-2495-45DF-9F16-C738F8F3C8FF} - (no file) O2 - BHO: (no name) - {f015f320-ab08-11db-abbd-0800200c9a66} - (no file) O2 - BHO: (no name) - {F67EEB12-AB09-11DB-A6F1-260856D89593} - (no file) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\Temp\svchost.exe',''); QuarantineFile('C:\Documents and Settings\константин\Мои документы\Downloads\Sound Forge 9.0e\Patch-Keygen\Keygen.exe',''); QuarantineFile('C:\WINDOWS\system32\95616594.exe',''); QuarantineFile('C:\Documents and Settings\константин\Главное меню\Программы\Автозагрузка\wwwzuc32.exe',''); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteService('securentm'); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteService('amd64si'); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); DeleteService('acpi32'); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Tetri5.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\Documents and Settings\константин\Главное меню\Программы\Автозагрузка\wwwzuc32.exe'); DeleteFile('C:\WINDOWS\system32\95616594.exe'); DeleteFile('C:\Temp\svchost.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_QrFile('C:\WINDOWS\System32\Drivers\Tetri5.sys'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Сделал. Вроде бы всё хорошо.Спасибо.
Профиксите в HijackThis как "профиксить в HiJackThis"
в остальном чистоКод:O1 - Hosts: 69.10.53.230 odnoklassniki.ru O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru O1 - Hosts: 69.10.53.230 vkontakte.ru O1 - Hosts: 69.10.53.230 www.vkontakte.ru O1 - Hosts: 69.10.53.230 vk.com O1 - Hosts: 69.10.53.230 www.vk.com O20 - Winlogon Notify: reset5 - Invalid registry found
обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\константин\главное меню\программы\автозагрузка\wwwzuc32.exe - Trojan-Dropper.Win32.Agent.cdiq ( DrWEB: Trojan.DownLoad1.62304, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\temp\svchost.exe - Backdoor.Win32.Bredolab.ess ( DrWEB: Trojan.DownLoad1.62349, BitDefender: Gen:Variant.Koobface.1 )
Уважаемый(ая) ragnarsson, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.