из-за svchost не выводится контексное меню отправить

[Киплинг]

Здрвавствуйте.

из-за svchost не выводится контексное меню отправить (например ярлык на раб стол и т.д) tune up utilities repair не помогает. когда курсор на подменю отправить окно зависает и приходится снимать задачу-потом когда снимаю-на неск секунд пробадают значки и панель задач. когда снимаю задачу svchost то все работает но само собой комп перезагружается через минуту. каспер обновленный именно 8 февраля обнаружил и удалил svchost как троян-пришлось обновлять систему. теперь он файл c/windows/system32/svchost.exe как вирус не опознаёт но проблема с зависанием на отправить есть. не пойму в чем дело. Помогите пожалйста решить вопрос. Заранее спасибо. Приклепляю файлы которые вы указывали в правилах

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[ТроПа]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

присоедине к сообщению лог Combofix

[Киплинг]

Здравствуйте. Спасибо за помощь. Вот файл о котором вы говорили

Я все запустил и сделал, но проблема так и не решилась 8(

ComboFix.txt

ComboFix.txt

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::c:\windows\winnt256.bmpc:\windows\winnt.bmpE:\Autorun.exeDriver::Folder::Registry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]FileLook::DirLook::Collect:: 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Проверить на . Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его

[Киплинг]

Файл user32.dll получен 2009.02.14 15:54:04 (CET)

Текущий статус: закончено

Результат: 1/39 (2.57%)

Форматированные

Печать результатов Антивирус Версия Обновление Результат

a-squared 4.0.0.93 2009.02.14 -

AhnLab-V3 5.0.0.2 2009.02.13 -

AntiVir 7.9.0.79 2009.02.13 -

Authentium 5.1.0.4 2009.02.14 -

Avast 4.8.1335.0 2009.02.14 -

AVG 8.0.0.237 2009.02.14 -

BitDefender 7.2 2009.02.14 -

CAT-QuickHeal 10.00 2009.02.13 -

ClamAV 0.94.1 2009.02.14 -

Comodo 977 2009.02.14 -

DrWeb 4.44.0.09170 2009.02.14 -

eSafe 7.0.17.0 2009.02.12 -

eTrust-Vet 31.6.6358 2009.02.14 -

F-Prot 4.4.4.56 2009.02.13 -

F-Secure 8.0.14470.0 2009.02.14 -

Fortinet 3.117.0.0 2009.02.14 -

GData 19 2009.02.14 -

Ikarus T3.1.1.45.0 2009.02.14 -

K7AntiVirus 7.10.630 2009.02.14 -

Kaspersky 7.0.0.125 2009.02.14 -

McAfee 5525 2009.02.13 -

McAfee+Artemis 5525 2009.02.14 -

Microsoft 1.4306 2009.02.14 -

NOD32 3852 2009.02.13 -

Norman 6.00.02 2009.02.13 -

nProtect 2009.1.8.0 2009.02.14 -

Panda 10.0.0.10 2009.02.14 -

PCTools 4.4.2.0 2009.02.14 -

Prevx1 V2 2009.02.14 -

Rising 21.16.52.00 2009.02.14 -

SecureWeb-Gateway 6.7.6 2009.02.14 -

Sophos 4.38.0 2009.02.14 -

Sunbelt 3.2.1851.2 2009.02.12 Trojan.Win32.Patched.B (vf)

Symantec 10 2009.02.14 -

TheHacker 6.3.2.1.256 2009.02.14 -

TrendMicro 8.700.0.1004 2009.02.14 -

VBA32 3.12.8.12 2009.02.14 -

ViRobot 2009.2.14.1607 2009.02.14 -

VirusBuster 4.5.11.0 2009.02.13 -

[Киплинг]

остальные файлы не определились как вирусы.

так получается у меня файл один заражен и изза него вся беда? или это ошибка того антивируса, хотя я 2 раза отправлял!

Вот логи о которых Вы говорили. Что делать дальше? Спасибо

ComboFix.txt

gmerlog.rar

ComboFix.txt

gmerlog.rar

[akoK]

Скопируйте в блокнот, сохраните как "fix.VBS" и запустите.

'XP_sendtodesktop.vbs - Repairs the Send To Desktop function'© Doug Knox - 4/7/2002'Updated 01/14/04'Downloaded from www.dougknox.comSet WshShell = WScript.CreateObject("WScript.Shell")a = "HKEY_CLASSES_ROOT\CLSID\{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}\"WshShell.RegWrite a,""WshShell.RegWrite a & "NeverShowExt",""b = "HKEY_CLASSES_ROOT\CLSID\{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}\InProcServer32\"WshShell.RegWrite b ,"C:\Windows\System32\Sendmail.dll"WshShell.RegWrite b & "ThreadingModel","Apartment"c = "HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}\DefaultIcon\"WshShell.RegWrite c,"C:WINDOWS\EXPLORER.exe,3"d = "HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}\shellex\DropHandler\"WshShell.RegWrite d,"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"'Thanks to MVP Kelly for this tipReturn = WshShell.Run("REGSVR32 /S SENDMAIL.DLL")Return = WshShell.Run("REGSVR32 /S OLE32.DLL")Return = WshShell.Run("REGSVR32 /S /I SHELL32.DLL")Set WshShell = NothingMsgBox "Send To Desktop has been fixed",4096,"Finished!"

или/и

Скопируйте в блокнот, сохраните как "fix.reg" и запустите.

[

HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers][HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\Send To]@="{7BA4C740-9E81-11CF-99D3-00AA004AE837}"[HKEY_CLASSES_ROOT\CLSID\{7BA4C740-9E81-11CF-99D3-00AA004AE837}]@="Microsoft SendTo Service""flags"=dword:00000001[HKEY_CLASSES_ROOT\CLSID\{7BA4C740-9E81-11CF-99D3-00AA004AE837}\InProcServer32]@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,\ 45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00"ThreadingModel"="Apartment"

Что там со значками локальных дисков? (скриншет пожалуйста).

[Киплинг]

Видимо дурацкий вопрос:-) запускать оба файла надо через combo.fix? Лучше у специалиста уточнить сперва!

Скрины чуть позже выложу если можно. А что с файлом user32.dll. Какой то неизвестный мне sunbelt определил его как вирус а остальные более именитые промолчали. Как так? Это вирус?

[akoK]

нет

копируете в блокнот - файл - сохранить как - и вставляете нужное имя с расширением *.fix или *.reg

[Киплинг]

понятно) у меня скрывать разрешения стояло и я обозначил файлы как fix.reg.txt fix.VBS.txt и сам не знал. До меня только дошло как раз! домой зайду сделаю. а насчет user32 что?

[akoK]

Похоже на фалс, но насколько я понял вы пользуетесь сборкой Windows. Отправьте newvirus<at>kaspersky.com (at=@) в архиве с паролем virus. (пароль укажите в теле письма). Посмотрим, сто вирлаб ответит.

Изменено 14 февраля, 2009 пользователем akoK

[Киплинг]

не все понял что Вы написали но отправил файл на касперский проверили-говорят файл ок! видимо паникует sunbelt просто. Касперский от паники svchost.exe от 8 числа обновления удалил. пришлось обновлять систему( домой зайду сделаю fix файлов. потом отпишусь)

[akoK]

Я дал адрес вирлаба :) Если и им отправляли тогда хорошо.

[Киплинг]

блин до дома не дошел еще в нете читаю про лабуду всякую-я так понял у меня еще один вирус который каспер не видит. у меня recycler вместо recycled в корневом каталоге!!!

вот это чтоли у меня Win32.ChinaWorm.II (aka Worm.Fujack)? какие логи еще можно отправить чтобы вы посмотрели?

[dytyna]

А предидущее задание Вы разве выполнили? Делаете, что предписано, а потом генеруете логи как в правилах, высылаете и терпеливо ждете. Не волнуйтесь - Вам помогут :)

[Киплинг]

fix.vbs пишет send to desktop has been fixed

а fix.reg не запускается и пишет вот что( прикрепленный файл безымянный)

скрины со значками во втором архивею спасибо

__________.rar

screenshot.rar

__________.rar

screenshot.rar

[akoK]

Теперь о значаках:

вобщем надо удалить:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons

HKEY_CLASSES_ROOT\Applications\explorer.exe\Drives

Рекомендации не проверены. Лучше перед выполнением сделать точку востановления (мало ли чего).

[Киплинг]

а что с файлом fix.reg?

[akoK]

ответил в личке