[решено] svchost.exe -k netsvcs от имени пользователя

SolarSpark · Отправлено: **09:15, 10-06-2011** | #2

Пофиксить в HijackThis следующие строчки:

Код:

	O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

AskToolbar рекомендую деинсталлировать.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

name_ · Отправлено: **11:08, 10-06-2011** | #3

Так. Спасибо. Сейчас буду делать.

name_ · Отправлено: **12:13, 10-06-2011** | #4

Combofix при распаковке выдал ошибку NirSoft Cmd и открыл мне Mozilla Firefox на этой странице. Весело, правда?

Вот я и выбираю, закрыть браузер и переименовать Combofix или пусть работает дальше. Выберу второе.

To be continued...

При предпросмотре этого сообщения браузер закрылся. Combofix работал.

Кажется у него мигал курсор в консоли. Мышь я не трогал. Потом время стало 11:58 и так и оставалось. Курсор в консоли исчез. Совсем.

Подождав, я все же тронул мышь, пытаясь открыть браузер, найти текстовый файл Combofix или закрыть Combofix.
Combofix завис. Пришлось все же перезагрузить с кнопки.

name_ · Отправлено: **12:22, 10-06-2011** | #5

Файл C:\ComboFix.txt я не наблюдаю.

Зато есть такая папка Combofix.

name_ · Отправлено: **12:28, 10-06-2011** | #6

Цитата:

Примечание: Во время сканирования, программа может изменить настройки даты и времени на компьютере. После завершения, эти параметры будут восстановлены, поэтому нет оснований для беспокойства.

Прочел.

name_ · Отправлено: **13:13, 10-06-2011** | #7

Создал нового пользователя с правами администратора и паролем. Сбербанк-клиент и Internet Explorer работают в новом пользователе.
Сбербанк-клиент работает и с помощью "Запустить от имени...".

Сбербанк-клиент и Internet Explorer работали и в безопасном режиме.

name_ · Отправлено: **13:39, 10-06-2011** | #8

Svchost Viewer
Видно, что svchost.exe PID:2152 -- единственный не имеет запущенной им службы.

SvchostAnalyzer
svchost.exe ID 2152 -- единственный, у которого в колонке Group нет ничего.

NirSoft CurrPorts
svchost.exe Process ID 2152, запущенный от имени пользователя, использует библиотеку C:\WINDOWS\System32\wininet.dll.

name_ · Отправлено: **15:45, 10-06-2011** | #9

Логи RSIT.

SolarSpark · Отправлено: **16:17, 10-06-2011** | #10

Проверьте сами на http://www.virustotal.com файл

Код:

C:\WINDOWS\system32\vcsdel.dll

ссылку на результат запостите здесь

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\WINDOWS\system32\REN37A.tmp','');
 QuarantineFile('C:\WINDOWS\system32\REN379.tmp','');
 QuarantineFile('C:\WINDOWS\system32\REN378.tmp','');
 DeleteFile('C:\WINDOWS\system32\REN37A.tmp');
 DeleteFile('C:\WINDOWS\system32\REN379.tmp');
 DeleteFile('C:\WINDOWS\system32\REN378.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

и лог RSIT повторите