Помогите пожалуйста вычистить систему от вирусов. Какой-то вирус обрубает инет, появляется ошибка svchost и ошибка spool. Высылаю отчёты.
Не могу из-за этого скачать Service pack 3.
Помогите пожалуйста вычистить систему от вирусов. Какой-то вирус обрубает инет, появляется ошибка svchost и ошибка spool. Высылаю отчёты.
Не могу из-за этого скачать Service pack 3.
Последний раз редактировалось Gabidz; 26.07.2010 в 15:00.
Выслал новые логи
Последний раз редактировалось Gabidz; 26.07.2010 в 15:00.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); StopService('SqlDebuger'); StopService('ba'); StopService('MSNETService'); StopService('NrConnmags'); StopService('vsd'); StopService('u7t'); DeleteService('vsd'); DeleteService('u7t'); DeleteService('NrConnmags'); DeleteService('MSNETService'); DeleteService('ba'); DeleteService('SqlDebuger'); QuarantineFile('C:\WINDOWS\system32\sqlserv.exe',''); QuarantineFile('C:\WINDOWS\system32\Service.exe',''); QuarantineFile('C:\WINDOWS\system32\abynnnqj.exe',''); QuarantineFile('C:\WINDOWS\system\csrss.exe',''); QuarantineFile('C:\WINDOWS\system32\YISIJFVY\J001.exe',''); QuarantineFile('C:\WINDOWS\system32\M3AOWQQP\E001.exe',''); QuarantineFile('C:\WINDOWS\System32\sopasclib.dll',''); QuarantineFile('c:\windows\system32\sopasvstart.dll',''); DeleteFile('C:\WINDOWS\system32\M3AOWQQP\E001.exe'); DeleteFile('C:\WINDOWS\system32\YISIJFVY\J001.exe'); DeleteFile('C:\WINDOWS\system\csrss.exe'); DeleteFile('C:\WINDOWS\system32\abynnnqj.exe'); DeleteFile('C:\WINDOWS\system32\Service.exe'); DeleteFile('C:\WINDOWS\system32\sqlserv.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карнатин" над первым сообщением темы)
Сделайте новые логи
Карантин и логи выслал.
Последний раз редактировалось Gabidz; 26.07.2010 в 15:00.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Documents and Settings\All Users\DRM\Console\bofup.cc3',''); DeleteFile('c:\windows\system32\sopasvstart.dll'); DeleteFile('C:\WINDOWS\system32\sopasvstart.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SopSrv\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- сделайте лог Combofix
Добавлено через 3 минуты
Экспортируйте содержимое веток (на этом ключе правой клавишей мыши - экспортировать)
в отдельные файлы и прикрепите их к сообщению[HKLM\SYSTEM\CurrentControlSet\Services\BITS]
[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Последний раз редактировалось polword; 15.07.2010 в 12:45. Причина: Добавлено
При попытке загрузки quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы появляется сообщение:
Ошибка загрузки. Данный файл уже был загружен
делайте остальное из сообщения №6
Экспортированные ветки реестра заархивировал так как не могу прикрепить файлы с расширением reg
Последний раз редактировалось Gabidz; 26.07.2010 в 15:00.
кнопка Пуск - Выполнить - regedit, откроется редактор реестра
Зайдите в ветку
и удалите параметр SopSrv[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\temp\Server.exe c:\temp\Service.exe c:\windows\system32\sopasclib.dll Driver:: Folder:: c:\windows\system32\YILXA4EU c:\windows\system32\TOIJH08Q c:\windows\system32\HBWN1ZF2 c:\windows\system32\EWID0TNZ c:\windows\system32\AREUB6Z2 c:\windows\system32\TGIIMDY7 c:\windows\system32\L5WO5IX3 c:\windows\system32\K6KOAHGE c:\windows\system32\FQC1DI5C c:\windows\system32\CYJTD656 c:\windows\system32\8J2GAXZR c:\windows\system32\2OCOQ7DQ c:\windows\system32\1TB8J02H c:\windows\system32\ZUBVWF4U c:\windows\system32\X3INW34O c:\windows\system32\1VCJNVTX c:\windows\system32\W7DXB4GH c:\windows\system32\RKECYF31 c:\windows\system32\P4N1E8KS c:\windows\system32\M3AOWQQP c:\windows\system32\YISIJFVY c:\windows\system32\LVLZOYPH c:\windows\system32\K82CT02D c:\windows\system32\K7Y54GYG c:\windows\system32\5R5TN352 c:\windows\system32\YP2IZ5R6 c:\windows\system32\XAAEDWHG c:\windows\system32\t Registry:: FileLook:: c:\windows\system32\wayic.dll c:\windows\system32\wayi.exe DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
внесите данные в реестр, предварительно распаковав файлы во вложении
Последний раз редактировалось polword; 26.08.2010 в 23:05.
Сделал
Последний раз редактировалось Gabidz; 26.07.2010 в 15:00.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('c:\windows\system32\wayic.dll',''); QuarantineFile('c:\windows\system32\wayi.exe',''); QuarantineFile('c:\windows\system32\drivers\tcpip.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip загрузил
что с проблемой?
svchost.exe - Ошибка приложения появилась через 3 минуты работы в интернете. Интернет не работает.
Добавлено через 53 минуты
Spool.exe - тоже появляется. Интернет отключается через 3-5минут. Я не успеваю скачать сервис пак 3. Уже весь трафик потратил...
Добавлено через 12 минут
Есть ещё идеи? Очень жду!
Последний раз редактировалось Gabidz; 15.07.2010 в 17:27. Причина: Добавлено
Пришлите файл Spool.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
Добавлено через 1 минуту
- Сделайте повторные логи virusinfo_syscure.zip hijackthis.log
Последний раз редактировалось polword; 15.07.2010 в 17:57. Причина: Добавлено
Ещё закачал xsvr85.exe@ - он тоже вызывает ошибку. При ошибке спул интернет не отключается, только при свхост ошибке пропадает связь.
Выслал логи
Последний раз редактировалось Gabidz; 26.07.2010 в 15:00.
Ещё что-то нашли?
Добавлено через 8 минут
Те же самые вирусы отлавливает нод32, что и до скриптов...мда...
Последний раз редактировалось Gabidz; 15.07.2010 в 19:26. Причина: Добавлено
Уважаемый(ая) Gabidz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.