svchost.exe создает вирусы???

[Vike]

Доброй ночи вам всем!!!!
Вот уже третий день меня мучает проблема с вирусами (опять они проклятые ). Вся проблема в том, что при соединении с Интернет НОД находит подозрительные трояны, которые, якобы созданны файлом svchost.exe. Симптомы на лицо: при соединении с Интернетом переодически начинает тормозит вся система, не открываются веб-страницы....
Вот пару из таких файлов:

Цитата:

E:\\Documents and settings\ Local Service\Local settings\tempotary internet files\ content.it5\i6e07\a023[1].exe, или a023.exe или какие-то другие названия
e:\windows\system32\d93lhlfcwe\a023.exe

также, как я уже говорил, эти файлы созданны svcost.exe и предлагает его отправить на анализ. Отправлять я его не стал, но систему просканировал и НОДом и AVZ и другими лечащими програмками, нашло массу вирусов, поудаляло их, по ситуация не изменилась, опять те самые файлы создаются.

сейчас выложу логи...
hijack
AVZ

[Iljeben]

Лог AVZ переделайте. Нужен архив virusinfo_syscure.zip из папки LOG.

[Vike]

ой, извините, машинально, и не проверил
http://www.filehoster.ru/files/dx3516 - вот

[Iljeben]

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт копируем и вставляем нижеприведенный скрипт-Запустить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('e:\windows\system32\wshost32.exe');
 TerminateProcessByName('e:\windows\atidfe.exe');
 TerminateProcessByName('e:\windows\ati2exxx.exe');
 TerminateProcessByName('e:\docume~1\9335~1\locals~1\temp\222.exe');
 SetServiceStart('TCPZ', 4);
 SetServiceStart('fen', 4);
 SetServiceStart('Ati2exxx', 4);
 StopService('fen');
 StopService('TCPZ');
 StopService('Ati2exxx');
 QuarantineFile('Pecllcayr.sys','');
 QuarantineFile('e:\windows\system32\pderunsrv.dll','');
 DeleteFile('e:\docume~1\9335~1\locals~1\temp\222.exe');
 DeleteFile('e:\windows\ati2exxx.exe');
 DeleteFile('e:\windows\atidfe.exe');
 BC_DeleteFile('e:\windows\system32\wshost32.exe');
 DeleteFile('E:\WINDOWS\system32\JVMOD32.DLL');
 DeleteFile('e:\windows\system32\pderunsrv.dll');
 DeleteFile('E:\WINDOWS\system32\wshost32.exe');
 DeleteFile('E:\WINDOWS\Ati2exxx.exe');
 DeleteFile('E:\WINDOWS\Atidfe.exe');
 DeleteFile('E:\WINDOWS\system32\drivers\tcpz-x86d.sys');
 DeleteFile('E:\WINDOWS\system32\TRWNDRAXGL\G001.exe');
 DeleteFile('E:\WINDOWS\system32\TRWNDRAXGL\J001.exe');
 DeleteFile('E:\WINDOWS\system32\TRWNDRAXGL\I.exe');
 DeleteFile('E:\WINDOWS\system32\TRWNDRAXGL\E001.exe');
 DeleteFile('Pecllcayr.sys');
 BC_DeleteFile('E:\WINDOWS\system32\drivers\tcpz-x86d.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
 DeleteFile('E:\RECYCLER\S-1-5-21-2850529688-1684691884-531810523-5200\wmfcgr.exe');
 DeleteFile('E:\WINDOWS\system32\018.exe');
 DeleteFile('explorer.exe,E:\RECYCLER\S-1-5-21-2850529688-1684691884-531810523-5200\wmfcgr.exe');
 BC_DeleteFile('E:\WINDOWS\system32\SSVICHOSST.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
 DeleteService('TCPZ');
 DeleteService('fen');
 DeleteService('Ati2exxx');
BC_ImportAll;  
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 3, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузиться. Выполните Стандартный скрипт N2 и выложите архив virusinfo_syscheck.zip.

[Vike]

http://www.filehoster.ru/files/dx3943 держите....

Цитата:

DeleteFile('E:\WINDOWS\system32\TRWNDRAXGL\G001.ex e');
DeleteFile('E:\WINDOWS\system32\TRWNDRAXGL\J001.ex e');
DeleteFile('E:\WINDOWS\system32\TRWNDRAXGL\I.exe') ;
DeleteFile('E:\WINDOWS\system32\TRWNDRAXGL\E001.ex e');

вот эти файлы возможно опять появятся

[01pump]

Vike, Вы radmin пользуетесь?

[01pump]

Vike,
В обязательном порядке отключить восстановление системы: Пуск-Панель управления- Система-Вкладка "Восстановление системы"-поставить птичку "Отключить восстановление"- применить (процесс может длится минуту).
Только после этого!!! запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('MasdSsdfy');
DeleteService('BackGround Switch');
DeleteFile('E:\WINDOWS\system32\regedit32.exe');
DeleteFile('E:\WINDOWS\system32\WHsdfda.exe');
DeleteFile('E:\WINDOWS\system32\SSVICHOSST.exe');
DeleteFile('E:\WINDOWS\Tasks\At1.job');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis и пришлите hijackthis.log (как это сделать читаем тут http://pchelpforum.ru/f26/t6442/#post37758 )

[Vike]

Цитата:

Сообщение от 01pump

Vike, Вы radmin пользуетесь?

нет...
ждите...

[01pump]

Vike,
Только не надо на этот обменник выкладывать.. Лучше на exfile.ru

[Vike]

AVZ
Hijack

А что не так с тем обменнком??

[01pump]

Цитата:

Сообщение от Vike

А что не так с тем обменнком??

Признаки фишинга

[01pump]

Цитата:

Сообщение от Vike

AVZ
Hijack

Вот это еще выполнить

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('r_server');
 DeleteFile('E:\WINDOWS\System32\r_server.exe');
ExecuteSysClean;
RebootWindows(true);
end.

[Vike]

нет никакого там фишинга...

---------- Добавлено в 11:42 ---------- Предыдущее сообщение было написано в 11:32 ----------

сделал
AVZ
и
Hilack, если надо

[01pump]

Цитата:

Сообщение от Vike

нет никакого там фтшинга...

есть там такое дело

[01pump]

Цитата:

Сообщение от Vike

сделал AVZ и Hilack, если надо

Чисто в логах