Процесс svchost.exe & 100% загрузка CPU

[world_86]

Антивирус ругается в основном на файлы .sys

после входа в систему появляется сообщение о перезагрузке и отсчёт в 10 сек

сканировал KAV2009, DRWEB, Symantec находили, удаляли но результат тотже

 

Сообщение от модератора MedvedevUnited

Не выкладывайте, пожалуйста, карантин (файл virusinfo_cure.zip).

hijackthis.log

virusinfo_syscure.zip

[DaTa]

Если драйверы то скачайте пожалуйста GMER из этого сайта: http://www.gmer.net/

После запуска и експресс сканирования, отключите следующее:

-Sections

-EAT/IAT

-Show All

А также в списке дисков оставте только загрузочный(обычно диск С: ) и проведите сканирование системы нажав на кнопку Scan. После окончания сканирования сохраните лог под любым именем и прикрепите его сюда.

Изменено 22 июля, 2009 пользователем DaTa

[thyrex]

world_86, оставьте пока в покое gmer

 

C:\WINDOWS\regsettings.exe проверьте на virustotal Ссылку на результат проверки сообщите.

Если появится сообщение, что файл уже проверялся, проверьте заново

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\deal17\Local Settings\Temp\MSI211.tmp','');
QuarantineFile('C:\WINDOWS\regsettings.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

Изменено 22 июля, 2009 пользователем thyrex

[world_86]

http://www.virustotal.com/ru/analisis/6d67...9652-1248265663

отчёт

скрипты пока не выполнял gmer часа 2 бьётся не буду ему мешать

всё выше перечисленное выполню и отчитаюсь

спс

 

avz делает только файл карантина virusinfo_cure

поможет ли лог hijackthis?

[ТроПа]

Только hijackthis не поможет. Лог АВЗ не сохраняется, я так понял?

[world_86]

да верно не сохраняется лог

[ТроПа]

Попробуйте запустить стандартный АВЗ так: создайте текстовый файл с расширением txt в блокноте. напишите там

avz.exe VI_Log_Path="C:\"

Файл сохраните как start.bat в папке с утилитой АВЗ

потом выполните стандартный скрипт 2 и посмотрите корень диска С, если там сохраниться лог то выполните стандартный лог 3.

[thyrex]

world_86, если не поможет совет wise-wistful, попробуйте сделать логи полиморфным AVZ (ссылки в моей подписи)

[world_86]

оба варианта не помогли ..... по-прежнему создаётся только файл карантина

в принципе проблема с перезагрузкой решена, но компьютер в сети не хотел бы способствовать распространению

[thyrex]

Давайте так попробуем.

 

Пофиксить в HiJack

O4 - HKLM\..\Run: [MessengerSettings] C:\WINDOWS\regsettings.exe

Перезагрузиться

 

Попробуйте теперь сделать логи AVZ

[world_86]

не помогло

а за что отвечает c:\windows\regsetting.exe ?

можно ли удалить его руками без последствий

[thyrex]

Фикс в HiJack должен был отключить запуск этого файла. Пока не удаляйте.

 

В безопасном режиме логи делать не пробовали?

[world_86]

не пробовал

сейчас сделаю