Показано с 1 по 16 из 16.

Зловреды мешают работе (заявка № 112053)

  1. #1
    Junior Member Репутация
    Регистрация
    10.01.2010
    Сообщений
    35
    Вес репутации
    26

    Зловреды мешают работе

    Добрый день!

    У меня в сети 3 машины соединены через роутер. Время от времени интернет начинает дико тормозить а то и пропадает вовсе.
    DrWeb.CureIt словил несколько зловредов, однако "залипания" скорости соединения не прекращаются.
    Отсылаю логи с самой подозрительной машины.
    HJT запускаться на ней отказался:
    запуск в обычном режиме: Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден.
    запуск от имени администратора: Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.
    запуск измененных файлов HJT проблему не устраняет.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Aspergillum, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,561
    Вес репутации
    708
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('4764955drv');
     QuarantineFile('C:\WINDOWS\System32\Drivers\a4t4ywdp.SYS','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\4764955drv.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\37622508.sys','');
     QuarantineFile('E:\Fxdrv.sys','');
     QuarantineFile('4764955drv.sys','');
     QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
     DeleteFile('C:\WINDOWS\system32\chknt32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Добавлено через 3 минуты

    + Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

  5. #4
    Junior Member Репутация
    Регистрация
    10.01.2010
    Сообщений
    35
    Вес репутации
    26
    Добрый день!
    Провел все процедуры.

    Информация по карантину:
    Файл сохранён как 111109_074145_virus_4eba2eb9d1842.zip
    Размер файла 3442
    MD5 a79145b1a0669566f58cdaf8d2dc0992

    Информация по сбору подозрительных файлов:
    Файл сохранён как 111109_075242_virusinfo_files_BLUE_4eba314a08f9a.z ip
    Размер файла 3496840
    MD5 d011ca19e6718ba3bad184012bd42d2a

    HJT по-прежнему отказывается запускаться с теми же ошибками.
    лог АВЗ:
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    10.01.2010
    Сообщений
    35
    Вес репутации
    26
    И еще раз здравствуйте!

    Отутюжил систему дополнительно Каперским, было найдено еще море ахтунгов... Однако проблема все еще не решена.
    Вложения Вложения

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    10.01.2010
    Сообщений
    35
    Вес репутации
    26
    У меня начинается легкий приступ паники... MBAM отказывается запускаться с той же ошибкой что и HJT:

    Запуск в обычном режиме: Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден.
    Запуск от имени администратора: Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.


  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    MSVBVM60.DLL найдите себе и скопируйте в папку system32
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. thyrex получил(а) благодарность за это сообщение от


  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,561
    Вес репутации
    708
    Установите себе SP3
    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows

    Добавлено через 1 минуту

    Цитата Сообщение от thyrex Посмотреть сообщение
    MSVBVM60.DLL найдите себе и скопируйте в папку system32
    скачать можно тут.

  12. regist получил(а) благодарность за это сообщение от


  13. #10
    Junior Member Репутация
    Регистрация
    10.01.2010
    Сообщений
    35
    Вес репутации
    26
    Спасибо за подсказки) Логи сделал.

    SP3 ставиться не желает, что то ему мешает. Пишет что отказано в доступе.
    Вложения Вложения

  14. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,561
    Вес репутации
    708
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('c:\documents and settings\BST\start menu\Programs\Startup\KaKaKo5.exe','');
     QuarantineFile('g:\system volume information\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\RP250\A0038984.exe','');
     QuarantineFile('g:\system volume information\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\RP250\A0038983.exe','');
     QuarantineFile('g:\system volume information\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\RP250\A0038986.exe','');
     QuarantineFile('g:\system volume information\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\RP250\A0038987.exe','');
     QuarantineFile('c:\program files\common files\keylog.txt','');
     DeleteFile('c:\documents and settings\BST\start menu\Programs\Startup\KaKaKo5.exe');
     DeleteFile('g:\system volume information\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\RP250\A0038984.exe');
     DeleteFile('g:\system volume information\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\RP250\A0038983.exe');
     DeleteFile('g:\system volume information\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\RP250\A0038986.exe');
     DeleteFile('g:\system volume information\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\RP250\A0038987.exe');
     DeleteFile('c:\program files\common files\keylog.txt');
     RegKeyDel('HKCU','SOFTWARE\ConnectionServices');
     DeleteFileMask('c:\program files\common files\wm\keys','*',true);
     DeleteDirectory('c:\program files\common files\wm\keys');
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteRepair(20);
     ExecuteWizard('TSW', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log,)

    + Повторите лог MBAM.

  15. #12
    Junior Member Репутация
    Регистрация
    10.01.2010
    Сообщений
    35
    Вес репутации
    26
    Файл сохранён как 111114_082633_quarantine_4ec0d0b9bd0a2.zip
    Размер файла 730316
    MD5 54aa8e9645029aaa0ae26ca9f64d6374

    Какая-то бяка пытается ломиться на сайт http://n.adonweb.ru/payclick/.... при открытом браузере, SpIDer Gate постоянно кричит о том что блокирует доступ к этому сайту.
    Вложения Вложения

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,561
    Вес репутации
    708
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    {***script generated: 14.11.2011 16:40:54***}
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    RegKeyParamDel('HKCU','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Windows Sarby');
    RegKeyParamDel('HKCU','Software\Microsoft','idln2');
    RegKeyParamDel('HKCU','Software\Microsoft','bk');
    RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Security Center','FirewallDisableNotify','');
    RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Security Center','UpdatesDisableNotify','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\amwmi9dz.SYS','');
    QuarantineFile('c:\system volume information\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\RP261\A0049594.exe','');
    DeleteFile('c:\system volume information\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\RP261\A0049594.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные лог MBAM.

    -------------------

    Что с проблемами ?

  17. regist получил(а) благодарность за это сообщение от


  18. #14
    Junior Member Репутация
    Регистрация
    10.01.2010
    Сообщений
    35
    Вес репутации
    26
    Добрый вечер!


    Файл сохранён как 111114_134735_quarantine_4ec11bf714060.zip
    Размер файла 608874
    MD5 f2507a3bf352dd1302089946f6832fa7

    По проблемам следующее: ServicePack 3 ставиться все равно отказывается, обновление баз Dr.Web происходит только с отключенным фаерволом (хотя в настройках указано чтоб пропускало без проблем). "Залипаний" скорости соединения пока что не наблюдаю, хотя скорость все равно ниже заявленной
    Вложения Вложения

  19. #15
    Junior Member Репутация
    Регистрация
    10.01.2010
    Сообщений
    35
    Вес репутации
    26
    Больше ничего поделать нельзя?

  20. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,533
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 35
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\bst\\start menu\\programs\\startup\\kakako5.exe - not-a-virus:RiskTool.Win32.HideExec.r ( DrWEB: archive: Trojan.Coinbit.6, BitDefender: Trojan.Generic.7275952 )
      2. c:\\system volume information\\_restore{24b235e6-acb3-4837-9b20-955ab8894c68}\\rp261\\a0049594.exe - not-a-virus:RiskTool.Win32.HideExec.r ( DrWEB: archive: Trojan.Coinbit.6, BitDefender: Trojan.Generic.7275952 )


  • Уважаемый(ая) Aspergillum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Зловреды мешают работе (второй комп)
      От Aspergillum в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.11.2011, 16:42
    2. вирусы мешают нормальной работе (заявка №6355)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 12.02.2010, 15:00
    3. Ответов: 7
      Последнее сообщение: 13.01.2010, 07:47
    4. В системе вирусы, очень мешают
      От konctantin2008 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 07:02
    5. вирусы мешают работать
      От fizikk в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 20.08.2008, 16:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01006 seconds with 23 queries