свхост

[Onion]

В процессах отображается 4 файла свхост - нормально ли это?

К тому же иногда подвисет ИЕ, не отвечает, но спустя 10-15 сек отвисает.

При проверке РСИТом дважды вылезал синий экран...

В последнее время почему-то кажется что пригружена оперативка...

[Andrey_al]

В процессах отображается 4 файла свхост - нормально ли это?

вполне нормально, что бы просмотреть список служб, работающий в процессе svchost, служит команда tasklist /svc

[Onion]

После проверки АВЗшником, что-то нашёл, что-то удалил... Теперь при включении компьютера он обязательно 1 раз зависнит. Во время загрузки виндовса (до ввода пароля), либо во время ввода пароля, либо когда уже прогрузил рабочий стол...

Помогите. Думаю может винду переставить? стоит ли ставить Винду-7 ?

[шпилька]

После проверки АВЗшником, что-то нашёл, что-то удалил...

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные, смотрите - что удаляете). Откройте лог и скопируйте в сообщение.

Выполните краткие правила оформления запроса. Логи AVZ подготовьте.

Думаю может винду переставить?

Все лечится. :)

[Onion]

Malwarebytes' Anti-Malware 1.44

Версия базы данных: 3646

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

27.01.2010 21:37:03

mbam-log-2010-01-27 (21-37-03).txt

Тип проверки: Полная (A:\|C:\|D:\|E:\|F:\|H:\|)

Проверено объектов: 211630

Прошло времени: 34 minute(s), 20 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 2

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 3

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

Заражено папок:

(Вредоносные программы не обнаружены)

Заражено файлов:

D:\Program Files\WinRAR\Def_US.SFX (Spyware.OnlineGames) -> Quarantined and deleted successfully.

H:\System Volume Information\_restore{BFCB32AB-EF6B-411C-B1FE-646446A3A1AB}\RP39\A0009750.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

D:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Quarantined and deleted successfully.

[шпилька]

Пожaлуйстa, выпoлнитe в avz стaндapтный скpипт №3.

Компьютер перезагрузится.

Потом стандартный скрипт №2.

В папке LOG сохраняются файлы: virusinfo_syscure.zip, virusinfo_syscheck.zip.

Прикрепите их к сообщению.

Необходимо почистить следы от трояна.

Изменено 27 января, 2010 пользователем шпилька

[Onion]

Логи:

Знаю, знаю про скрипты, делал уже. Просто не успеваю всё сразу :)

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[edde]

Здравствуйте

Выполните скрипт авз

beginQuarantineFile('D:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');QuarantineFile('D:\WINDOWS\system32\drivers\anftdird.sys','');QuarantineFile('qfgodj.sys','');QuarantineFile('D:\WINDOWS\system32\rChAKyk.exe','');end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

[Onion]

Ваше письмо для newvirus@kaspersky.com отправлено

Знаете ли вы, что с ним можно бесплатно общаться голосом? Подробнее

Сегодня комп опять завис при загрузке...

[Форматцевт]

Onion: у меня 12 "хвостов" :D и ничего... это я так глянул ради интереса :) Сорри за оффтоп :doh:

[Onion]

Были такие ошибки карантина при юзанье првиедённого вами скрипта... это нормально?

Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys)

Карантин с использованием прямого чтения - ошибка

Файл успешно помещен в карантин (D:\WINDOWS\system32\drivers\anftdird.sys)

Выполнен карантин файла D:\WINDOWS\system32\drivers\anftdird.sys

Ошибка карантина файла, попытка прямого чтения (qfgodj.sys)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (qfgodj.sys)

Карантин с использованием прямого чтения - ошибка

Файл успешно помещен в карантин (D:\WINDOWS\system32\rChAKyk.exe)

Выполнен карантин файла D:\WINDOWS\system32\rChAKyk.exe

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('qfgodj.sys');DeleteFile('D:\WINDOWS\system32\Drivers\ZFMSYS.sys');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Как использовать ComboFix - Руководство по применению

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Onion]

СДФх запустить не удаётся по причине: при перезагрузке компа, нажав Ф8 и выбрав безопасны режим, спустя около 5 секунд комп перегружается. Выбираю опять ф-8 - безопасный режим - опять перезагруз... Круговорот. в обычном режиме загружается нормально.

Лог Комбофикса прилагается.

ComboFix.txt

ComboFix.txt

[шпилька]

3aгpyзитecь в обычнoм рeжимe. В AVZ выпoлнитe скpипт:

beginExecuteRepair(10);RebootWindows(true);end.

Компьютер перезагрузится.

Дoлжeн зapaбoтaть бeзoпaсный peжим.

Изменено 30 января, 2010 пользователем шпилька

[Onion]

Ваш скрипт не помог, загрузился в обычном режиме.

*Прмиечание:

При загрузке виндовса мне на выбор предоставляестся

1. Загрузить виндовс ХР СП и прочее.

2. Загрузить некий виндовс рекавери консоль (откуда оно и как убрать не знаю)... если нужно могу сделать и выложить сюда фотку :blink:

Быть может это мешает загрузиться сэйфмоду.

[edde]

В строке выбора нажмите F8 и выберите загрузку в безопасном режиме.

скрипт шпильки ничего страшного не сделал, он должен разблокировать безопасный режим, не переживайте.

[akoK]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

[Onion]

В строке выбора нажмите F8 и выберите загрузку в безопасном режиме.

скрипт шпильки ничего страшного не сделал, он должен разблокировать безопасный режим, не переживайте.

Я уже выберал без. реж. - всё равно перегружается машина. Как после скрипта шпильки, так и после проведения чистки ОТклинером.

[snifer67]

Пуск - Выполнить:

Введите комадну: sfc /scannow

Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.

[Onion]

Вы уж извините, но я не буду выполнять совета новичка, пока его не подтвердит опытный форумчанин :blush2:

Для восстановления может потребоваться установочный диск ОС.

- я сразу думал систему переставить :) но это самое лёгкое..

[edde]

Повторите логи авз и rsit, sfc сейчас пока бесполезно выполнять.