Показано с 1 по 10 из 10.

Вирус "жрёт"систему уже четвертый день... (заявка № 102288)

  1. #1
    Junior Member Репутация
    Регистрация
    15.05.2011
    Адрес
    Иваново
    Сообщений
    6
    Вес репутации
    21

    Вирус "жрёт"систему уже четвертый день...

    Доброго времени суток дорогие Хелперы!
    У меня тут полная засада...Вирус засел, и не выковыряешь...
    Вначале был один visdrive.exe, грузил процессор на 100% и открывался бесконечным количеством процессов в Диспетчере Задач. Причём вирус засел при активном сканировании DrWeb, после чего у меня стало при загрузке автоматически открываться окно "Мои документы", стал пропадать звук воспроизведения мультимедия, т.е. его надо было каждый раз устанавливать, вместо привычной панели задач, появилась панель, а-ля Windows 95/98 и пропала связь с сервером DrWeb, т.е. он перестал работать. Тормозило всё не по детски, поэтому установил заново Windows XP SP3. Но напрасно спустя некоторое время, при восстановлении прежних програм и утилит всё начиналось заново.
    Нашёл Ваш сайт, прочёл инструкцию, переустановил Windows, загрузил DrWeb Currient (предпочёл его потому что базовый не возможно было запустить из-за отсутствия связи с сервером, а при переустановке системы он удалился), запустил в усиленном режиме, быстро и полно, два раза... перезагрузился, снова проверил на вирусы, всё ОК... Заново загрузил с сервера моего провайдера базовый антивирус DrWeb, вначале не было связи с сервером, ....
    ....но как только вроде заработали системы самозащиты и агенты антивируса, как БАЦ, снова таже проблема, только процесс грузит уже другой sjrcс.exe или crcjс.exe, точно не запомнил... Вновь переустановил Windows, создал логи, и приложил к этому письму...
    Тех.поддержка моего провайдера только разводит руками, мол это всё Ваш компьютер... но как же так, система переустановлена, на вирусы проверенна (закралось такое впечатления, что на меня усиленно кого-то травят, не просто случайно какой-то вирус, а направленный.. но это лишь догадки..слишком много недругов знают как меня найти)
    Извиняюсь за обширность, но я должен был быть понятен, и точно излагать описания "электронной лихорадки" моего "компьютерного малыша".
    C уважением...
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    327
    Уважаемый(ая) BadDog, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\08.exe','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\WINDOWS\aadrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
     QuarantineFile('c:\windows\system32\taskmgr.exe','');
     QuarantineFile('c:\windows\aadrive32.exe','');
     TerminateProcessByName('c:\windows\aadrive32.exe');
     DeleteFile('c:\windows\aadrive32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
     DeleteFile('C:\WINDOWS\aadrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     DeleteFile('C:\WINDOWS\system32\08.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  5. #4
    Junior Member Репутация
    Регистрация
    15.05.2011
    Адрес
    Иваново
    Сообщений
    6
    Вес репутации
    21

    Done.....

    Вот то что необходимо...

    Надеюсь Вы уже получили Файл quarantine.zip , сделал всё как положено...
    О'Кей..
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    -Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      DeleteService('Netmanm');
     TerminateProcessByName('c:\windows\system32\crssc.exe');
     TerminateProcessByName('c:\windows\aadrive32.exe');
     DeleteFile('c:\windows\aadrive32.exe');
     DeleteFile('c:\windows\system32\crssc.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\40.scr');
     DeleteFile('C:\WINDOWS\system32\51.exe');
     DeleteFile('C:\WINDOWS\aadrive32.exe');
     DeleteFile('C:\WINDOWS\system32\crssc.exe');
     DeleteFileMask('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5', '*.*', true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:

    -удалите в MBAM ооставшееся из этого
    Код:
    Заражённые процессы в памяти:
    c:\WINDOWS\system32\crssc.exe (Trojan.Downloader) -> 1708 -> No action taken.
    c:\WINDOWS\system32\wmisrv.exe (Trojan.Dropper) -> 1920 -> No action taken.
    c:\WINDOWS\aadrive32.exe (Malware.Gen) -> 2864 -> No action taken.
    
    Заражённые ключи в реестре:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netmanm (Trojan.Downloader) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Dropper) -> No action taken.
    
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Trojan.Downloader) -> Value: Tnaww -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Downloader) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: () -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    
    Заражённые папки:
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\WINDOWS\system32\crssc.exe (Trojan.Downloader) -> No action taken.
    c:\WINDOWS\system32\wmisrv.exe (Trojan.Dropper) -> No action taken.
    c:\WINDOWS\aadrive32.exe (Malware.Gen) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\QVC6N81W\logo[1].gif (Extension.Mismatch) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\12XVCJ3S\j1[1].exe (Trojan.Dropper) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\AR95LDS4\dci[1].exe (Malware.Gen) -> No action taken.
    c:\documents and settings\администратор\application data\1.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\администратор\application data\2.tmp (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\application data\3.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\администратор\application data\4.tmp (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\application data\5.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\администратор\application data\6.tmp (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\application data\9.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\администратор\application data\A.tmp (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\application data\B.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\администратор\application data\C.tmp (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\application data\frpgpl.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\40.scr (Trojan.Dropper) -> No action taken.
    c:\WINDOWS\system32\51.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте лог MBAM

  7. #6
    Junior Member Репутация
    Регистрация
    15.05.2011
    Адрес
    Иваново
    Сообщений
    6
    Вес репутации
    21

    Завершено...

    Вот последние ЛОГ'и после чистки компьютера,

    ....только вот при удалении в MBAM, несколько процессов описаных в логе на удаление, при втором сканировании я не нашел... наверное их удалил AVZ...

    Вот думаю запустить DrWeb CureIT, или не надо...
    Вложения Вложения
    Последний раз редактировалось BadDog; 18.05.2011 в 02:37.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('mqqlwv.sys','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Frpgpl.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Frpgpl.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Frpgpl');
     DeleteFile('mqqlwv.sys');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteFile('mqqlwv.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip; - Сделайте повторный лог virusinfo_syscheck.zip; hijackthis.log

  9. #8
    Junior Member Репутация
    Регистрация
    15.05.2011
    Адрес
    Иваново
    Сообщений
    6
    Вес репутации
    21

    Ффььююю...

    Карантин отправлен по ссылке, вот ЛОГ'и...

    Ну у Вас и наука я Вам скажу, .... .... по хлеще там всяких...
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    15.05.2011
    Адрес
    Иваново
    Сообщений
    6
    Вес репутации
    21

    YEsssss..

    Мой антивирус заработал, значит всё окей....
    Данную тему можно закрыть...

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Trojan.Win32.Menti.gktf ( DrWEB: BackDoor.Siggen.31020, BitDefender: Worm.Generic.333900, AVAST4: Win32:Malware-gen )
      2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan-Downloader.Win32.Injecter.fuc ( DrWEB: Trojan.Inject.38501, BitDefender: Trojan.Generic.5945724, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      3. c:\\windows\\aadrive32.exe - Trojan.Win32.Menti.gksz ( DrWEB: BackDoor.Siggen.31020, BitDefender: Trojan.Generic.KD.224567, NOD32: IRC/SdBot trojan, AVAST4: Win32:KillAV-AHK )


  • Уважаемый(ая) BadDog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. "avp.exe" и "System" вдвоем грузят систему на 100%.
      От ZHandos в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.08.2012, 22:34
    2. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    3. Ответов: 2
      Последнее сообщение: 20.02.2011, 20:43
    4. Ответов: 11
      Последнее сообщение: 18.12.2009, 22:35
    5. Ответов: 15
      Последнее сообщение: 09.11.2009, 23:22

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01084 seconds with 22 queries