Процесс svchost.exe

[Drru 143]

Попросили посмотреть компьютер. Система зверь, сильно порушена. Ладно, с этим справился.

Начал подключать к интернету. Большое здание, свой провайдер, выделяется статичный IP адрес.

Подключил и сразу, через секунду компьютер завис. Процесс svchost.exe 100%.

Стоит CRYSTAL.

Говорят, что так же было до лечения. После лечения система рухнула.

Kaspersky Virus Removal Tool 2010 ничего не нашёл.

Тормоза жуткие.

Посмотрите пожалуйста, может быть, что нибудь найдёте.

avptool_sysinfo.zip

[cathode 133]

Удалите Др.Веб, Аутпост и Авиру. Возможны тормоза из-за этого.

C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe

C:\WINDOWS\System32\tssdis.exe

проверьте на ВирусТотал.

И сделайте логи по правилам.

Изменено 21 июля, 2010 пользователем [@thodE

[DaTa 7]

Сообщение от модератора thyrex

DaTa, Вы не входите в число тех, кто может запрашивать карантин

wwwznv32.exe - Worm.Win32.Pinit.OI

Сообщение от модератора thyrex

Есть варианты Backdoor, Bredavi

Сейчас напишу скрипт для удаления.

begin
 SearchRootkit(true,true);
 SetAvzGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','Kryptik');
 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe','Worm.Win32.Pinit.OI');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 QuarantineFile('C:\Temp\esp647A.tmp','');
 DeleteFile('C:\Temp\esp647A.tmp');
 QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1644491938-601003312-1214\Lmhgpw.exe','');
 DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491938-601003312-1214\Lmhgpw.exe');
 DelCLSId('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
 QuarantineFile('C:\SETUP\DATA\June.exe','Trojan-Dropper.Win32.Small.dkc');
 DeleteFile('C:\SETUP\DATA\June.exe');
 DelCLSId('67KLN5J0-4OPM-33WE-AAX5-34KC2A3453431');
 BC_ImportAll;
 ExecuteSysClean;
  BC_Activate;
 RebootWindows(true);
end.

 

ПК перезагрузится. После перезагрузки выполните следующий скрипт для создания карантина:

begin
CreateQurantineArchive('C:\quarantine.zip');
end.

Файл карантина отошлите на адрес: newvirus<at>tut.by (at = @).

 

Скачайте авз с http://z-oleg.com/secur/avz , разархивируйте и обновите базы. Потом выполните скрипт №3.

Пришлите новые логи выполненные скриптом.

 

thyrex Я с карантинами ничего плохого не зделаю.:wink: wwwznv32.exe реверсил сам( точнее пробовал возможно уже появились и другие варианты )

Изменено 21 июля, 2010 пользователем thyrex
поправил скрипт

[Drru 143]

Логи.

hijackthis.log

virusinfo_syscure.htm

[thyrex 1 468]

Выполните скрипт в AVZ

begin
RegSearch('HKLM', '', 'esp647A.tmp');
SaveLog('c:\avz00.log');
end.

Файл c:\avz00.log прикрепите к сообщению

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\User\Application Data\drm\drm.exe','');
DeleteFile('C:\Documents and Settings\User\Application Data\drm\drm.exe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@tut.by с указанной ссылкой на тему

 

Сделайте новые логи

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Drru 143]

Логи:

avz00.log

hijackthis.log

virusinfo_syscheck.htm

virusinfo_syscure.htm

Combofix запустить не удалось. Точнее он запускается, но система падает в синий экран.

Тормоза пропали. Но, только подключил интернет и, svchost.exe - 100%. Всё опять зависло.

Ради интереса сделал (с трудом) ещё один лог на заторможенном компьютере.

virusinfo_syscure.htm

Вообще система глючит сильно ( например при перезагрузки, выключении падает в синий экран), скорее всего в эту субботу заберу компьютер у домой и переустановлю.

[snifer67 120]

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[thyrex 1 468]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('%windir%\system32\drivers\sfc.sys');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\B496B29B');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Control\Print\Providers\B496B29B');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\vdewmtk3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet005\Control\Print\Providers\B496B29B');
RegKeyDel('HKLM', 'SYSTEM\ControlSet006\Control\Print\Providers\B496B29B');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Удалить временно Outpost, отключить антивирус и пробовать сделать лог ComboFix

[Joker_M 0]

КОроч проблемы с svchost. Отключил Dcom который вешал комп намертво

virusinfo_syscheck.zip

hijackthis.log

hijackthis.log

[snifer67 120]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\b2ee5ed0.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[thyrex 1 468]

А также

Удалить временно Outpost, отключить антивирус и пробовать сделать лог ComboFix

[Joker_M 0]

Показывает RSIT ошибку Autolt error - line 3903. Не идет

[snifer67 120]

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Joker_M 0]

Ну вроде так

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

 

 

И вот это на выходе

ComboFix.txt

Изменено 26 июля, 2010 пользователем Joker_M

[snifer67 120]

Что с проблемой?