svchost.exe и setupapi.dll

@peskarr · Регистрация: 12.05.2011

Author24 — интернет-сервис помощи студентам

2 svchost.exe мучают проц (100% нагружен)
и от куда-то setupapi.dll вылезает при запуске браузера

@~~Katharsis~~ · 14.05.2011, 14:57

какие именно файлы?

@peskarr · 14.05.2011, 15:03 **[ТС]**

Я волнуюсь... это уже не просто игра с вирусом. Что мне делать?

@~~Katharsis~~ · 14.05.2011, 15:10

Давайте без паники.
Ничего не смог разобрать. Приведите текст сюда.
В безопасном режиме то же самое? Не запускаются все приложения или только некоторые? Попробуйте переустановить одно из тех, которое не запускается

@peskarr · 14.05.2011, 15:12 **[ТС]**

На картинке видно, как я пытаюсь переустановить тот же скайп.

@~~Katharsis~~ · 14.05.2011, 15:14

Сообщение от Katharsis

Ничего не смог разобрать. Приведите текст сюда.
В безопасном режиме то же самое? Не запускаются все приложения или только некоторые?

вы не ответили на вопросы

@peskarr · 14.05.2011, 15:24 **[ТС]**

Сообщение от Katharsis

вы не ответили на вопросы

ICQ, Skype, Word, Radmin, Mozilla, Filezilla - У всех одна болезнь- Повреждены профили и какие-то файлы (на картинке видно) недоступны для изменения, удаления.
Остальные, слава Богу, работают.

@~~Katharsis~~ · 14.05.2011, 15:30

Сообщение от Katharsis

В безопасном режиме то же самое?

Сообщение от peskarr

Повреждены профили и какие-то файлы

у меня не такой большой монитор, не могу разобрать, ещё раз: текст выпишите сюда.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

@peskarr · 14.05.2011, 16:33 **[ТС]**

Сообщение от Katharsis

у меня не такой большой монитор, не могу разобрать, ещё раз: текст выпишите сюда.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

1. В безопасном все тоже самое.
2. Причину неработоспособности программ нашел- C:\Documents and Settings\Администратор\Application Data при попытки открытия любого файла из этой папки и под-папок, изменения, копирования пишет: Отказано в доступе или файл защищен от записи.
3. Логи прикрепил.
Все не так плохо. Мне нужно всего-лишь исправить проблему с папкой Application Data - вопрос: Как?
Процессор уже не такой бешеный, так что можно сказать, что проблема решена. Ну и в конце поменяю пароли, и буду жить счастливо.

@~~Katharsis~~ · 14.05.2011, 16:50

1.Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27015:TCP"=-
"27015:UDP"=-
FileLook::
c:\windows\system32\sfcfiles.dll
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению

Сообщение от peskarr

Причину неработоспособности программ нашел- C:\Documents and Settings\Администратор\Application Data при попытки открытия любого файла из этой папки и под-папок, изменения, копирования пишет: Отказано в доступе или файл защищен от записи.

2. Создайте новую учетную запись с админскими правами. Как будут работать программы под ней?

@peskarr · 14.05.2011, 17:45 **[ТС]**

Сообщение от Katharsis

1.Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27015:TCP"=-
"27015:UDP"=-
FileLook::
c:\windows\system32\sfcfiles.dll
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению

2. Создайте новую учетную запись с админскими правами. Как будут работать программы под ней?

1. Лог прикреплен.
2. При открытии программ из под другого пользователя все отлично работает. Проблема только с папкой Администратор/Application Data.
Проблема с троянами и процессорами полностью решена. Осталось только восстановить работоспособность папки Application Data и все будет отлично!

@~~Katharsis~~ · 14.05.2011, 18:04

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Папку C:\Application Data сами создали?

Старую учетку можете удалить.

Сообщение от peskarr

Проблема только с папкой Администратор/Application Data.

Как стать владельцем файла или папки в Windows XP

Добавлено через 5 минут
Приведите в порядок систему охлаждения вашего компьютера.

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

@peskarr · 14.05.2011, 18:23 **[ТС]**

C:\Application Data создал сам, когда пытался скопировать в безопасном режиме (не вышло).
"Как стать владельцем файла или папки в Windows XP" Не помогает.
Как мне восстановить ее работоспособность?

@~~Katharsis~~ · 14.05.2011, 18:27

Думаю, что это папка в принципе работоспособна. По умолчанию она скрыта, ее при необходимости используют некоторые программы для хранения общих данных. Если у вас сейчас нет проблем с запуском приложений, ничего трогать не нужно.

Сообщение от peskarr

Не помогает.

значит что то делаете не правильно

@peskarr · 14.05.2011, 18:40 **[ТС]**

Если у вас сейчас нет проблем с запуском приложений, ничего трогать не нужно.

У меня нет проблем с запуском приложений из под других пользователей(они используют свою дерикторию Applicaton Data) Но мне нужен мой пользователь - под него все настройки программ.

Добавлено через 7 минут
Все решено! Спасибо, с меня шоколадка.=))) Серьёзно, спасибо за труды, все заработало!

@~~Katharsis~~ Заблокирован
	14.05.2011, 15:14	25
	Сообщение от Katharsis Ничего не смог разобрать. Приведите текст сюда. В безопасном режиме то же самое? Не запускаются все приложения или только некоторые? вы не ответили на вопросы 1

@peskarr 0 / 0 / 0 Регистрация: 12.05.2011 Сообщений: 41
	14.05.2011, 15:24 [ТС]	26
	Сообщение от Katharsis вы не ответили на вопросы ICQ, Skype, Word, Radmin, Mozilla, Filezilla - У всех одна болезнь- Повреждены профили и какие-то файлы (на картинке видно) недоступны для изменения, удаления. Остальные, слава Богу, работают. 0

@~~Katharsis~~ Заблокирован
	14.05.2011, 16:50	29
	1.Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "27015:TCP"=- "27015:UDP"=- FileLook:: c:\windows\system32\sfcfiles.dll Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению Сообщение от peskarr Причину неработоспособности программ нашел- C:\Documents and Settings\Администратор\Application Data при попытки открытия любого файла из этой папки и под-папок, изменения, копирования пишет: Отказано в доступе или файл защищен от записи. 2. Создайте новую учетную запись с админскими правами. Как будут работать программы под ней? 1

@~~Katharsis~~ Заблокирован
	14.05.2011, 18:04	31
	Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Папку C:\Application Data сами создали? Старую учетку можете удалить. Сообщение от peskarr Проблема только с папкой Администратор/Application Data. Как стать владельцем файла или папки в Windows XP Добавлено через 5 минут Приведите в порядок систему охлаждения вашего компьютера. Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду: REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 Нажмите enter. Для подтверждения перезаписи нажмите Y. Если больше никаких проблем не возникает, то: Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендуется: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. - регулярно проверять систему антивирусными утилитами CureIT и AVPTool 1

@peskarr 0 / 0 / 0 Регистрация: 12.05.2011 Сообщений: 41
	14.05.2011, 18:40 [ТС]	34
	Если у вас сейчас нет проблем с запуском приложений, ничего трогать не нужно. У меня нет проблем с запуском приложений из под других пользователей(они используют свою дерикторию Applicaton Data) Но мне нужен мой пользователь - под него все настройки программ. Добавлено через 7 минут Все решено! Спасибо, с меня шоколадка.=))) Серьёзно, спасибо за труды, все заработало! 0

@~~Katharsis~~ Заблокирован
	14.05.2011, 14:57	21
	какие именно файлы? 1

@~~Katharsis~~ Заблокирован
	14.05.2011, 15:10	23
	Давайте без паники. Ничего не смог разобрать. Приведите текст сюда. В безопасном режиме то же самое? Не запускаются все приложения или только некоторые? Попробуйте переустановить одно из тех, которое не запускается 1

@peskarr 0 / 0 / 0 Регистрация: 12.05.2011 Сообщений: 41
	14.05.2011, 15:12 [ТС]	24
	На картинке видно, как я пытаюсь переустановить тот же скайп. 0

@~~Katharsis~~ Заблокирован
	14.05.2011, 15:30	27
	Сообщение от Katharsis В безопасном режиме то же самое? Сообщение от peskarr Повреждены профили и какие-то файлы у меня не такой большой монитор, не могу разобрать, ещё раз: текст выпишите сюда. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." 1

@peskarr 0 / 0 / 0 Регистрация: 12.05.2011 Сообщений: 41
	14.05.2011, 18:23 [ТС]	32
	C:\Application Data создал сам, когда пытался скопировать в безопасном режиме (не вышло). "Как стать владельцем файла или папки в Windows XP" Не помогает. Как мне восстановить ее работоспособность? 0

@~~Katharsis~~ Заблокирован
	14.05.2011, 18:27	33
	Думаю, что это папка в принципе работоспособна. По умолчанию она скрыта, ее при необходимости используют некоторые программы для хранения общих данных. Если у вас сейчас нет проблем с запуском приложений, ничего трогать не нужно. Сообщение от peskarr Не помогает. значит что то делаете не правильно 1

Опции темы