svchost

[Searlgg 0]

Вылетает svchost.exe, тормозит система при загрузке, регулярно появляетсясообщение о попытке соединения с вредоносным сайтом.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Roman_Five 598]

Searlgg,

скачайте утилиту AVZ версии 4.35

обновите базы

переделайте логи AVZ

[Searlgg 0]

Новые логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five 598]

Проверьте компьютер утилитой из данной статьи

http://support.kaspersky.ru/faq/?qid=208639606

полученный лог из корня диска С приложите

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('sptd');
StopService('atapi');
StopService('dtscsi');
QuarantineFile('C:\WINDOWS\ResPatch\ResPatch.exe','');
QuarantineFile('C:\System Volume Information\_restore{2A7C1DA4-1A56-4C9A-A5ED-0F7A4E2983F4}\RP44\A0057557.exe','');
QuarantineFile('C:\System Volume Information\_restore{2A7C1DA4-1A56-4C9A-A5ED-0F7A4E2983F4}\RP31\A0046519.exe','');
QuarantineFile('C:\D&S\Дима\Мои документы\Мои видеозаписи\Project\ВВ\Mondir.exe.d','');
QuarantineFile('C:\D&S\Дима\Мои документы\Мои видеозаписи\Project\Auto Cpy\Архив WinRAR.rar','');
QuarantineFile('C:\D&S\Дима\Мои документы\Project\Сканер\Project1.exe','');
QuarantineFile('C:\D&S\Дима\Мои документы\Project\My Form\Project1.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dtscsi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD1757.SYS','');
QuarantineFile('C:\Program Files\Google\GoogleToolbar1.dll','');
DeleteFile('C:\System Volume Information\_restore{2A7C1DA4-1A56-4C9A-A5ED-0F7A4E2983F4}\RP31\A0046519.exe');
DeleteFile('C:\System Volume Information\_restore{2A7C1DA4-1A56-4C9A-A5ED-0F7A4E2983F4}\RP44\A0057557.exe');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',1,1,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

 

 

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

 

проверьте системный раздел скандиском.

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

 

запустите для него дефрагментацию.

пуск-выполнить-defrag C: /v

 

проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить-sfc /scannow

 

Сделайте новые логи по правилам.

 

DNS 157.162.11.254 Вы прописывали?

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Searlgg 0]

Скрипты AVZ выполнил, карантин отправить не получается IE пишет что нельзя отобразить страницу(возможно карантин много весит около 60мб).

Все что находится в папке Project это не вирусы а безобидные Делфи проэкты.

Еще сегодня на комп откудато установилась программа GuardMailRU.exe не удаляется стандартными способами. Неубивается и восстанавливает себя в автозагрузке. Помогите ее удалить.

Команды в Выполнить ни одна не работают Пишет что невозможно найти.

TDSSKiller.2.4.21.0_15.04.2011_16.24.45_log.txt

mbam_log_2011_04_15__21_19_00_.txt

Изменено 15 апреля, 2011 пользователем Searlgg

[Roman_Five 598]

выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\ResPatch\ResPatch.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD1757.SYS','');
QuarantineFile('C:\Program Files\Google\GoogleToolbar1.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

 

затем этот:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

 

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

Удалите в MBAM:

Заражённые папки:
c:\program files\VVSN (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.

Заражённые файлы:
c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.

 

проверьте на virustotal.com

c:\WINDOWS\system32\winmine.exe

ссулку на результат приложите

 

Переделайте лог MBAM по правилам!

Тип сканирования: Быстрое сканирование

надо - полное!

 

сделайте логи по правилам.

 

Команды в Выполнить ни одна не работают Пишет что невозможно найти.

а если там набрать cmd ?

 

Win+R

cmd

enter

Изменено 15 апреля, 2011 пользователем Roman_Five

[Searlgg 0]

Размер карантина не сильно уменьшился и он все равно неотправляется. Файл ResPatch.exe весит около 20 мб. А размер карантина немного больше 50мб.

winmine.exe - http://www.virustotal.com/file-scan/report...e740-1302890371

Файлы и папку VVSN удалил после создания нового MBAM лога.

Команды в выполнить уже работают.

mbam_log_2011_04_16__10_39_55_.txt

Изменено 16 апреля, 2011 пользователем Searlgg

[Roman_Five 598]

проверьте сами на virustotal.com

C:\WINDOWS\ResPatch\ResPatch.exe
C:\WINDOWS\System32\Drivers\SPTD1757.SYS
C:\Program Files\Google\GoogleToolbar1.dll
c:\masm32\qeditor.exe
c:\masm32\examples\dialogs\calender\calender.exe
c:\masm32\examples\dialogs\simple\simple.exe
c:\masm32\examples\dialogs\tests\tests.exe
c:\masm32\examples\exampl05\qeplugin\qeplugin.dll
c:\masm32\examples\exampl06\regdemo\regdemo.exe
c:\masm32\tools\makecimp\vcrtdemo\vcrtdemo.exe
c:\masm32\tutorial\dlltute\dll\dlltute.dll

 

удалите в MBAM:

c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056416.exe (Trojan.Dropper.PGen) -> Not selected for removal.
c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056446.dll (Spyware.Passwords) -> Not selected for removal.
c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056462.exe (Trojan.Downloader) -> Not selected for removal.
c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056677.exe (Trojan.Downloader) -> Not selected for removal.
c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056709.dll (Spyware.Passwords) -> Not selected for removal.
c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056839.exe (Malware.Packer) -> Not selected for removal.
c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056842.exe (Trojan.Downloader) -> Not selected for removal.
c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056850.exe (Malware.Packer) -> Not selected for removal.

 

Сделайте логи AVZ и HJT

 

GuardMailRU.exe будем удалять?

[Searlgg 0]

ResPatch - http://www.virustotal.com/file-scan/report...8016-1302950857

Sptd1757.sys - Неудалось проверить, занят другим процессом (в безопасном режиме тоже)

GoogleToolbar1.dll - http://www.virustotal.com/file-scan/report...eb3d-1302950786

Qeditor.exe - http://www.virustotal.com/file-scan/report...c839-1302951240

Calender.exe - http://www.virustotal.com/file-scan/report...64ad-1302951025

Simple.exe - http://www.virustotal.com/file-scan/report...fd10-1302951203

Tests.exe - http://www.virustotal.com/file-scan/report...0ffd-1302951273

Qeplugin.dll - http://www.virustotal.com/file-scan/report...3b8c-1302951395

regdemo.exe - http://www.virustotal.com/file-scan/report...3cf4-1302951528

vcrtdemo.exe - http://www.virustotal.com/file-scan/report...b98d-1302952134

dlltute.dll - http://www.virustotal.com/file-scan/report...6cd3970eaffd026

 

GuardMailRU удалился в безопасном режиме

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Roman_Five 598]

dlltute.dll - перепроверьте. кривая ссылка

а также

C:\WINDOWS\System32\drivers\zntport.sys

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\ResPatch\ResPatch.exe','');
DeleteFile('C:\WINDOWS\ResPatch\ResPatch.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O23 - Service: Guard.Mail.ru - Unknown owner - C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe (file missing)

 

на вопрос о DNS Вы так и не ответили.

DNS 157.162.11.254 Вы прописывали? если нет, пофиксите:

O17 - HKLM\System\CCS\Services\Tcpip\..\{84B3EADF-4160-4822-9016-1DB759AF168A}: NameServer = 157.162.11.254

DNS 194.247.179.241 194.247.179.241Вы прописывали? если нет, пофиксите:

O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5CFCFE-479F-4848-8C8D-DF5C2B9920D1}: NameServer = 194.247.179.241 194.247.179.241

 

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

 

Деинсталлируйте MBAM

 

Проблема исчезла?

[Searlgg 0]

DNS я не писал , но возможно его писали установщики интернета.

194.247.179.241 это ихний IP.

 

С сайтом не соединяет, но svchost.exe вылетает, после чего зависает компьютер.

 

dlltute.dll - http://www.virustotal.com/file-scan/report...d026-1302951923

zntport.sys - http://www.virustotal.com/file-scan/report...90e2-1303053702

Изменено 22 апреля, 2011 пользователем Searlgg

[Roman_Five 598]

dlltute.dll

заархивируйте файл с паролем virus и отправьте

http://support.kaspersky.ru/virlab/helpdesk.html

 

пофиксите:

O17 - HKLM\System\CCS\Services\Tcpip\..\{84B3EADF-4160-4822-9016-1DB759AF168A}: NameServer = 157.162.11.254

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Searlgg 0]

dlltute.dll отправил.

ComboFix.txt

[Roman_Five 598]

не сделали:

пофиксите:

Код

O17 - HKLM\System\CCS\Services\Tcpip\..\{84B3EADF-4160-4822-9016-1DB759AF168A}: NameServer = 157.162.11.254

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

RegLock::
[HKEY_USERS\S-1-5-21-117609710-1580818891-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*>]
[HKEY_USERS\S-1-5-21-117609710-1580818891-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*>\OpenWithList]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Содержимое папки C:\Qoobox\Quarantine заархивируйте с паролем virus и отошлите карантин через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

а также

Win+R

cmd

route -f

[Searlgg 0]

Зря я пофиксил

O17 - HKLM\System\CCS\Services\Tcpip\..\{84B3EADF-4160-4822-9016-1DB759AF168A}: NameServer = 157.162.11.254

пропало подключение к интернету. Пришлось систему восстанавливать.

Делать скрипт Combofix заново?