1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена wwwznv32.exe и svchost

Тема в разделе "Удаление компьютерных вирусов", создана пользователем HoHuK, 26 июл 2010.

Статус темы:
Закрыта.
  1. HoHuK

    HoHuK Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Не отличаясь оригинальностью, подцепил обе этих гадости. Притом svchost грузит мои три проца на 33%, когда удаляешь - появляется окно с инфой "nt authority/services" и "неожиданное завершение службы Запуск серверных процессов DCOM" и отсчётом до перезагрузки через минуту. Логи вложены.
     

    Вложения:

    • log.txt
      Размер файла:
      46,6 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      27,2 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      21,9 КБ
      Просмотров:
      4
    • virusinfo_syscheck.zip
      Размер файла:
      23,4 КБ
      Просмотров:
      0
    Последнее редактирование: 26 июл 2010
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.370
    Симпатии:
    3.112
    Выполните скрипт в AVZ
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\920a583e.exe.vir','');
    QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
     QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
     DeleteFile('C:\BIN\RECYCLE\Bin.exe');
    DeleteFile('C:\WINDOWS\system32\920a583e.exe.vir');
    DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
    DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342}');
    DeleteFileMask('C:\BIN', '*.*', true);
    DeleteDirectory('C:\BIN');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    ExecuteRepair(20);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    quarantine.zip из папки AVZ отправьте через форму.
    1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
    2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
    3. Прикрепите файл карантина и нажмите "Далее".
    4. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
    Полученный ответ сообщите здесь.

    Сделайте новые логи
     
    4 пользователям это понравилось.
  4. HoHuK

    HoHuK Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Логи каких программ делать?
     
  5. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.675
    Симпатии:
    14.858
    HoHuK, нужно подготовить свежий комплект логов AVZ и RSIT.
     
  6. HoHuK

    HoHuK Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Новые логи
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      23,2 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      21,4 КБ
      Просмотров:
      3
    • log.txt
      Размер файла:
      46,5 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      27,2 КБ
      Просмотров:
      0
  7. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.675
    Симпатии:
    14.858
    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли


    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."
     
  8. HoHuK

    HoHuK Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    NOD отключаться не пожелал, поэтому проводилось с ним.
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      19,1 КБ
      Просмотров:
      2
  9. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.675
    Симпатии:
    14.858
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    File::

    Driver::

    Folder::

    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "6148:TCP"=-
    FileLook::

    DirLook::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    И лог RSIT повторите. И необходимо отключить NOD.
     
  10. HoHuK

    HoHuK Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот новые логи. Центр управления НОД (nod32kui.exe) вырубился, а вот nod32krn.exe никак не хотел. Отключал его через auslogics boost speed, он снова появлялся через секунду. Его родитель - services.exe. Посмотрел по местоположению файла - находится в program files\eset. Ещё есть NOD32KRN.EXE-0D2DFBDC.pf, который находится в windows\prefetch. Trojan remover в обоих ничего не нашёл. Инет пишет, что nod32krn.exe и должен находится в program files\eset.
     

    Вложения:

    • log.txt
      Размер файла:
      45,3 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      27,2 КБ
      Просмотров:
      0
    • ComboFix.txt
      Размер файла:
      20,4 КБ
      Просмотров:
      1
  11. HoHuK

    HoHuK Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Что нашёл Каспер -
    920a583e.exe.vir - Backdoor.Win32.Shiz.gen

    Детектирование файла будет добавлено в следующее обновление.

    bcqr00007.dat,
    bcqr00008.dat,
    wwwznv32.exe
    fjhdyfhsn.bat

    Файлы в процессе обработки.

    С уважением, Лаборатория Касперского
     
  12. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.370
    Симпатии:
    3.112
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):
    KillAll::

    File::
    c:\windows\system32\14fe0dd9.exe
    c:\documents and settings\NetworkService\Application Data\swqatk.dat

    Driver::
    dwshd

    Folder::

    Registry::

    FileLook::

    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
     
  13. HoHuK

    HoHuK Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Новый отчёт ComboFix
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      30 КБ
      Просмотров:
      3
  14. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.675
    Симпатии:
    14.858
    Что с проблемами?
     
  15. HoHuK

    HoHuK Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Исчезло всё.
     
  16. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.675
    Симпатии:
    14.858
    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
     
    2 пользователям это понравилось.
Загрузка...
Похожие темы - wwwznv32 svchost
  1. sibeerian
    Ответов:
    10
    Просмотров:
    5.937
  2. Yaho_O
    Ответов:
    14
    Просмотров:
    3.121
Статус темы:
Закрыта.

Поделиться этой страницей

Загрузка...