[решено] svchost.exe Два файла host в папке ect

icotonev · Отправлено: **19:46, 15-10-2011** | #2

Сделайте следующем:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

cir1us · Отправлено: **21:07, 15-10-2011** | #3

Логи

icotonev · Отправлено: **22:07, 15-10-2011** | #4

• Отключите временно:
Антивирус/Файерволл

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\XDva387.sys','');
 QuarantineFile('C:\Windows\system32\XDva388.sys','');
  DeleteFile('C:\Windows\system32\XDva387.sys');
  DeleteFile('C:\Windows\system32\XDva388.sys');
 DeleteService('XDva387');
 DeleteService('XDva388');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.
Изменения какие-либо есть?

cir1us · Отправлено: **22:27, 15-10-2011** | #5

файл ~WRD0008.tmp после перезагрузки не появился,а так без изменений.

Процессы диспетчера задач

icotonev · Отправлено: **22:37, 15-10-2011** | #6

"vksaver" сами ставили?

cir1us · Отправлено: **22:39, 15-10-2011** | #7

да.

icotonev · Отправлено: **22:42, 15-10-2011** | #8

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

cir1us · Отправлено: **23:23, 15-10-2011** | #9

логи

icotonev · Отправлено: **23:35, 15-10-2011** | #10

Ничего подозрительного в логах GMER не найдено...!

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение