 |
|
|
11.05.2010, 22:35
|
#1 (ссылка) |
|
Новичок
Регистрация: 11.05.2010
Сообщений: 51
Репутация: 0
|
sysfbm32.exe -> svchost.exe 50%
Здраствуйте
Первый раз на вашем сайте Появилась проблема с перерузкой компьютера http://exfile.ru/99747 http://exfile.ru/99748 |
|
|
11.05.2010, 22:48
|
#2 (ссылка) |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Закройте/выгрузите все программы кроме Internet Explorer.
Отключите: ПК от интернета/локальной сети. Выполните скрипт в avz Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelAutorunByFileName('E:\WINDOWS\system32\SiteAccess.dll')
QuarantineFile('E:\WINDOWS\system32\SiteAccess.dll','');
DeleteFile('E:\WINDOWS\system32\SiteAccess.dll');
QuarantineFile('E:\DOCUME~1\863E~1\LOCALS~1\Temp\espCBF9.tmp','');
QuarantineFile('E:\WINDOWS\TEMP\esp171E.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\kSwV2O5.exe','');
QuarantineFile('E:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('E:\WINDOWS\system32\1253c66d.exe','');
QuarantineFile('E:\Program Files\plugin.exe','');
QuarantineFile('E:\Documents and Settings\Максим\Главное меню\Программы\Автозагрузка\sysfbm32.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
DeleteService('frcvnahcnm');
QuarantineFile('E:\WINDOWS\system32\srnh.lto','');
DeleteFile('E:\WINDOWS\system32\srnh.lto');
DeleteFile('frcvnahcnm.sys');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
DeleteFile('E:\Documents and Settings\Максим\Главное меню\Программы\Автозагрузка\sysfbm32.exe');
DeleteFile('E:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('E:\WINDOWS\system32\1253c66d.exe');
DeleteFile('E:\WINDOWS\system32\drwat32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
DeleteFile('\\?\globalroot\systemroot\system32\kSwV2O5.exe');
DeleteFile('E:\WINDOWS\TEMP\esp171E.tmp');
DeleteFile('E:\DOCUME~1\863E~1\LOCALS~1\Temp\espCBF9.tmp');
RegSearch('HKLM', '', 'espCBF9');
SaveLog(GetAVZDirectory + 'avz.log');
RegSearch('HKLM', '', 'esp171E');
SaveLog(GetAVZDirectory + 'avz1.log');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Выполнить скрипт в AVZ. Код:
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Сделайте новые логи + Прикрепите логи avz.log, avz.log из папки AVZ. |
|
|
|
11.05.2010, 23:43
|
#3 (ссылка) |
|
Новичок
Регистрация: 11.05.2010
Сообщений: 51
Репутация: 0
|
http://exfile.ru/99771
http://exfile.ru/99772 запускаю из папки avz4 там LOG Base Quarantine sysfbm32.exe исчез из автозагрузки svchost.exe тоже не напрягает |
|
|
|
11.05.2010, 23:49
|
#4 (ссылка) |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Прикрепите логи avz.log, avz.log из папки AVZ.
У вас в системе что-то руткитоподобное. Сделайте такой лог http://virusinfo.info/showthread.php?t=78057 |
|
|
|
12.05.2010, 00:08
|
#5 (ссылка) |
|
Новичок
Регистрация: 11.05.2010
Сообщений: 51
Репутация: 0
|
Да( Вспомнил про еще 1 проблему очень редко но бывает что синий экран с цифрами и тд на 1сек появляется а потом компьютер перезагружается(
Только вот уже 2 раза жал ссылку Vba32 AntiRootkit чтоб скачать "Выполнить" а он синий экран выводит и перезагружает( |
|
|
|
12.05.2010, 00:18
|
#6 (ссылка) |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.
1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe ---------- Добавлено в 22:18 ---------- Предыдущее сообщение было написано в 22:15 ---------- Выполните скрипт в avz Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrFile('E:\WINDOWS\TEMP\iewfgt.sys');
BC_QrFile('E:\WINDOWS\TEMP\yudfxcjinocbi.sys');
DeleteFile('E:\WINDOWS\TEMP\iewfgt.sys');
DeleteFile('E:\WINDOWS\TEMP\yudfxcjinocbi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить скрипт в AVZ. Код:
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Сделайте новые логи. |
|
|
|
12.05.2010, 11:40
|
#9 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Brimoff,
Выполните этот скрипт в avz Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Ubh85');
DeleteService('Uag41');
DeleteService('Rxd84');
DeleteService('Qwc38');
DeleteService('Oua27');
DeleteService('Nty74');
DeleteService('nfwokajgjvimph');
DeleteService('Int63');
DeleteService('esihdrv');
DeleteService('frcvnahcnm');
DeleteService('Flr28');
DeleteService('Netprotocol');
DeleteFile('0000082E.sys');
DeleteFile('\??\E:\WINDOWS\TEMP\iewfgt.sys');
DeleteFile('\??\E:\WINDOWS\TEMP\yudfxcjinocbi.sys');
DeleteFile('00000893.sys');
DeleteFile('E:\Documents and Settings\Максим\Application Data\netprotocol.exe');
DeleteFile('E:\WINDOWS\TEMP\iewfgt.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Flr28.sys');
DeleteFile('E:\DOCUME~1\863E~1\LOCALS~1\Temp\esihdrv.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Int63.sys');
DeleteFile('nfwokajgjvimph.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Nty74.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Oua27.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Qwc38.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Rxd84.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Ubh85.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Uag41.sys');
DeleteFile('E:\Documents and Settings\Максим\Максим.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Максим');
DeleteFile('E:\WINDOWS\system32\1253c66d.exe');
DeleteFile('E:\WINDOWS\TEMP\esp171E.tmp');
DeleteFile('E:\DOCUME~1\863E~1\LOCALS~1\Temp\espCBF9.tmp');
ExecuteSysClean;
RebootWindows(true);
end.
|
|
|
|
12.05.2010, 12:54
|
#12 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Brimoff,
Еще прицепом выполнить в avz Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('e:\windows\system32\6Qc4qLJ.exe');
DeleteFile('e:\windows\system32\TPu5NUz.exe');
DeleteFile('e:\windows\system32\COS9zu3.exe');
DeleteFile('e:\windows\system32\CVwZWoD.exe');
DeleteFile('e:\windows\system32\yRLKm8E.exe');
DeleteFile('e:\windows\system32\FnGDI1S.exe');
DeleteFile('e:\windows\system32\bm37czs.exe');
DeleteFile('e:\windows\system32\il8hxwL.exe');
DeleteFile('e:\windows\system32\jnfBW0a.exe');
DeleteFile('e:\windows\system32\mFFjw7j.exe');
DeleteFile('e:\windows\system32\zNnrfNg.exe');
DeleteFile('e:\windows\system32\Yz48g9B.exe');
DeleteFile('e:\windows\system32\NXaqGgJ.exe');
DeleteFile('e:\windows\system32\ts06rYV.exe');
DeleteFile('e:\windows\system32\V7kgRpZ.exe');
DeleteFile('e:\windows\system32\Hb9p7fU.exe');
DeleteFile('e:\windows\system32\QBcsTyq.exe');
DeleteFile('e:\windows\system32\9gGF2qo.exe');
DeleteFile('e:\windows\system32\mvp91iK.exe');
DeleteFile('e:\windows\system32\TpM1AuP.exe');
DeleteFile('e:\windows\system32\gQ44tVP.exe');
DeleteFile('e:\windows\system32\DhnXOg1.exe');
DeleteFile('e:\windows\system32\bdg53JO.exe');
DeleteFile('e:\windows\system32\eHsO6ib.exe');
DeleteFile('e:\windows\system32\A4uGEUg.exe');
DeleteFile('e:\windows\system32\BkpRaXp.exe');
DeleteFile('e:\windows\system32\D3jH1Yq.exe');
DeleteFile('e:\windows\system32\WnwySdX.exe');
DeleteFile('e:\windows\system32\WJ9IUlW.exe');
DeleteFile('e:\windows\system32\x11mra0.exe');
DeleteFile('e:\windows\system32\FgEHBmZ.exe');
DeleteFile('e:\windows\system32\v15OczE.exe');
DeleteFile('e:\windows\system32\UNcCeEm.exe');
DeleteFile('e:\windows\system32\kWBVa49.exe');
DeleteFile('e:\windows\system32\bZrCk9I.exe');
DeleteFile('e:\windows\system32\N8texOv.exe');
DeleteFile('e:\windows\system32\uTljmD7.exe');
DeleteFile('e:\windows\system32\g9WDk1x.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Последний раз редактировалось 01pump; 12.05.2010 в 14:20. |
|
|
|
12.05.2010, 13:30
|
#14 (ссылка) | |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Цитата:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Ubh85');
DeleteService('Uag41');
DeleteService('Rxd84');
DeleteService('Qwc38');
DeleteService('Oua27');
DeleteService('Nty74');
DeleteService('Int63');
DeleteService('Flr28');
DeleteFile('E:\WINDOWS\System32\Drivers\Flr28.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Int63.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Nty74.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Oua27.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Qwc38.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Rxd84.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Uag41.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Ubh85.sys');
DeleteFile('E:\WINDOWS\TEMP\esp171E.tmp');
DeleteFile('E:\DOCUME~1\863E~1\LOCALS~1\Temp\espCBF9.tmp');
ExecuteSysClean;
RebootWindows(true);
end.
PS Вы выполняли скрипт из моего последнего сообщения #12? Последний раз редактировалось 01pump; 12.05.2010 в 13:58. |
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| svchost.exe | fMp | Windows XP | 5 | 17.07.2011 15:13 |
| svchost.exe | NightDevil | Windows 7 | 18 | 09.01.2011 18:04 |
| svchost.exe 50%-100% ЦП | desert1k | Безопасность | 5 | 25.12.2010 23:59 |
| восстановление SVCHOST.EXE | crazy_mActep | Windows 7 | 3 | 17.07.2010 21:17 |
| svchost.exe | tee | Безопасность | 7 | 08.07.2010 22:56 |
| sysfbm32 => загрузка процессора более 90% | MyST | Безопасность | 14 | 27.05.2010 21:47 |
| Компьютер виснет из-за sysfbm32.exe | Oriya | Безопасность | 6 | 16.05.2010 12:07 |
| Компьютер виснет (sysfbm32.exe) | демон25 | Безопасность | 18 | 06.05.2010 17:57 |
| При включении запускается sysfbm32.exe | демон25 | Безопасность | 2 | 04.05.2010 21:17 |
| svchost | Xexe | Безопасность | 7 | 23.07.2009 22:40 |
| svchost.exe | altunin | Windows XP | 1 | 30.05.2009 13:41 |
