Добрый день всем,

Некоторое время назад ПК начал тормозить хотя ранее ессено этого не наблюдалось.
Странность первая на двух дисках вкорне появились файлики,которые после удаления появлялись сами собой.Через filemon было выявлено что генерит их svhost.exe если я не ошибся.
После был произведен скан Dr.Web Live USB который выявил наличии Win.32.Sector.30 полечил 81 файл и все.
Но сдается мне что дело не только в этом так как файлики подозрительные на месте.
Архив с логами прикладываю.

Заранее спасибо,
С уважением.

svhost.exe »
svchost.exe должен быть, и расположен в конкретном месте, а не в корне Windows.

svhost.exe »
svchost.exe должен быть, и расположен в конкретном месте, а не в корне Windows.
Вот именно по этому я за помощью и обратился.

Здравствуйте!

У Вас файловое заражение sality.

Пролечите систему через KRD (http://support.kaspersky.ru/viruses/rescuedisk/main).

Затем сделайте свежий CollectionLog.

Пролечил,новые логи в приложении.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\jllxg.exe','');
QuarantineFile('C:\Windows\system32\drivers\jcrqkywn.sys','');
QuarantineFile('C:\autorun.inf', '');
QuarantineFile('G:\autorun.inf', '');
DeleteFile('C:\Windows\system32\drivers\jcrqkywn.sys','32');
DeleteFile('C:\jllxg.exe','32');
DeleteFile('C:\autorun.inf', '32');
DeleteFile('G:\autorun.inf', '32');
DeleteService('jcrqkywn');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
ExecuteRepair(10);
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Скрипт выполнил,логи повторил,логи в приложении.

Воспользуйтесь утилитой SalityKiller (http://support.kaspersky.ru/viruses/disinfection/1874#block2).

Затем еще раз новый CollectionLog.

Воспользуйтесь утилитой SalityKiller (http://support.kaspersky.ru/viruses/disinfection/1874#block2).

Затем еще раз новый CollectionLog.

Может этот экзешник лучше в безопасном режиме запустить или с live cd на базе винды?

В безопасном Вы пока не сможете запустить.

Пробуйте
с live cd на базе винды »

Просканирол из под винды и через live cd.
Логи прилагаю.
Вчера забыл написать что архив с карантином из AVZ отправил по форме.

Просканирол из под винды и через live cd. »
Результаты были?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\autorun.inf', '');
QuarantineFile('E:\autorun.inf', '');
QuarantineFile('F:\autorun.inf', '');
QuarantineFile('F:\hret.pif','');
QuarantineFile('C:\xvkid.exe','');
QuarantineFile('E:\mfdec.exe','');
DeleteFile('E:\mfdec.exe','32');
DeleteFile('C:\xvkid.exe','32');
DeleteFile('F:\hret.pif','32');
DeleteFile('C:\autorun.inf', '32');
DeleteFile('E:\autorun.inf', '32');
DeleteFile('F:\autorun.inf', '32');
ExecuteSysClean;
ExecuteRepair(10);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Просканирол из под винды и через live cd. »
Результаты были?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\autorun.inf', '');
QuarantineFile('E:\autorun.inf', '');
QuarantineFile('F:\autorun.inf', '');
QuarantineFile('F:\hret.pif','');
QuarantineFile('C:\xvkid.exe','');
QuarantineFile('E:\mfdec.exe','');
DeleteFile('E:\mfdec.exe','32');
DeleteFile('C:\xvkid.exe','32');
DeleteFile('F:\hret.pif','32');
DeleteFile('C:\autorun.inf', '32');
DeleteFile('E:\autorun.inf', '32');
DeleteFile('F:\autorun.inf', '32');
ExecuteSysClean;
ExecuteRepair(10);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

При первом проходе из под винды были, что то удалил, кучу вылечил. При повторном проходе уже из под винд ничего не было. Все было чисто.
Я еще забыл восстановление оси выключить, может он таким образом восстанавливался?
На данный момент восстановление системы отключено на всех дисках. Выключу инет, применю скрипт. После сделаю логи и уже включу инет. Может так выйдет.

Скрипт выполнил,логи прикладываю.

Теперь порядок.

Для верности проделайте эту процедуру (http://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/).

Уважаемый Sandor!

Огромная Вам благодарность!

Процедуру проделал,лог приложить?

Если все в порядке, то не нужно.

В завершение:
Выполните скрипт в AVZ (http://forum.oszone.net/post-1430637-4.html) при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.