-
Junior Member
- Вес репутации
- 46
Trojan.Carber.10; Trojan.hosts.4960; Быстродействие компьтера 99%
Доброго времени суток стал замечать что компьютер стал зависать открываю диспетчер задач там процесс svchost.exe (имя пользователя администратор) загружал систему до 80-100% стоит его убить все работает нормально, но через секунд он снова появляется в диспетчере. а пункт Быстродействие компьютера нагрузка до 99% Заметил это после того как попытался скачать фаил с музыкой, при нажатие кнопки скачать. появилась командная строка cmd я подумал как бы не винлок, и быстренько диспетчер, но строка к тому времени пропала и снять процесс не удалось.
Затем заметил появление странных папок в корне диска С. Название папки состоит из набора букв и цифр в папке всего 1 фаил с именем --> klpclst.dat, и еще1 расширением .inf в другой папке.
В папке -> C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Z6UGuD7Szow.exe Находится данный фаил, при попытке его удалить пишет что данный фаил занят другим процессом, при попытке снять процесс через утилиту -> Unlocker, стоит снять процесс фаил исчезает, через несколько секунд он снова в этой папке.
В ходе сканировании - Dr.Web CureIt! были обнаружены: Trojan.muldop3.12949, Trojan.Carber.10; Trojan.hosts.500 Trojan.hosts.4960;<-(был перемешен, а находился в папке где лежит обычный фаил Хоста ) и в карантине моего антивируса удалил 2 винлока Trojan.winlok.3784
Последнее в Браузере Google Chrome. При попытке открыть страницу, выдавал ошибку что превышен режим ожидания и просит зарыть или подождать, и так на любые сайты. Почти, Иногда только открывает.
P.S При печати Вам сообщения в правом углу в самом низу сообщения появляется маленькое окошечко желтого цвета с текстом Auto-saved так должно быть?
Недавно(примерно1 мес.) был пойман Rootkit.Win32.Cidox.а (вроде так назввался) был удален с помощью Live CD и запушенной утилитой TDSSKiller от от лаборатории Касперского.
Извини если много текста старался описать все подробно,
Последний раз редактировалось DreamFire; 04.12.2011 в 22:37.
Причина: Были пропушены слова, и текст напечатался 2 раза.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) DreamFire, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!!!
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Z6UGuD7Szow.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Z6UGuD7Szow.exe');
QuarantineFile('C:\WINDOWS\system32\DBD.tmp','');
DeleteFile('C:\WINDOWS\system32\DBD.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MEMSWEEP2');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Повторите логи.
Какие проблемы остались?
-
-
Junior Member
- Вес репутации
- 46
Еще раз добрый вечер
Файл quarantine.zip из папки AVZ уже был создан при в ходе выполнения скриптов, не заменят ли они друг друга.
\Z6UGuD7Szow.exe он не всегда в этой папке, он появляется и исчезает.
-
DreamFire, выполняйте сообщение 3
-
-
Junior Member
- Вес репутации
- 46
При выполнение пункта 2 "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Сработал антивирус при это все службы были выгружены. и что удалил....
вот новые логи.
Дополнение: при выполнение 1 пунка выдал это сообщениее в самом низу. !!! Внимание !!! Восстановлено 11 функций KiST в ходе работы антируткита
Последний раз редактировалось DreamFire; 05.12.2011 в 00:16.
Причина: Дополнение текста из программы AVZ
-
Много лишней информации, а той которая нужна - нет
Сообщение от
Techno
Какие проблемы остались?
-
-
Junior Member
- Вес репутации
- 46
Вроде все нормально, все работает, можно будет попросить скрипт на удаление
C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray
Его видно только пр выполнение команды mscofig меню автозагрузка. файлы которые были связаны от вируса были удалены
Как там мой фаил карантина ? если там файла нету. то я успел его поймать и упаковать в архив... при быстпрой выгрузки из трея
-
-
-
Junior Member
- Вес репутации
- 46
Techno, У сожалению смогу это сделать только Утром. сделаю логи, буду ждать вашего ответа.
P.S. обновления и новый IE установить до логов ?
Спасибо !!!
-
Сообщение от
DreamFire
P.S. обновления и новый IE установить до логов ?
Да.
Сообщение от
DreamFire
Techno, У сожалению смогу это сделать только Утром. сделаю логи, буду ждать вашего ответа.
Я тоже уже спать собирался)))
-
-
Junior Member
- Вес репутации
- 46
Techno, Добрый вечер обновления которые мне предложили на сайте, предназначены для программ:
Win Outlook 2003,
Win Access 2003,
Outlook Express и
Windows Movie Maker
Этими программами не пользуюсь.
при сканирование логов пришлось воспользоваться скайпой это могло отразиться на сканирование ?
На Диске С-2 объекта, D-2 объекта,
Он выдал список объектов. но блокнот не открылся, а в папке логов пусто ни чего нет
-
Junior Member
- Вес репутации
- 46
Сохранил его вручную сохранить отчет как *****
-
Сообщение от
DreamFire
Этими программами не пользуюсь.
Все равно установите.
Сообщение от
DreamFire
Он выдал список объектов. но блокнот не открылся, а в папке логов пусто ни чего нет
Смотрите внимательнее, если не найдете давайте хоть фотку)))
-
-
Junior Member
- Вес репутации
- 46
Фото по вашей просьбе
P.S посмотрите сообщение выше лог из программы
Последний раз редактировалось DreamFire; 05.12.2011 в 22:01.
Причина: Добавление
-
Удалите в MBAM всё кроме:
Код:
c:\program files\total commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.
d:\program\sacred 2 - fallen angel\system\dsr.exe (Trojan.KillAV) -> No action taken.
d:\program\sacred 2 - fallen angel\system\s2.exe (Malware.Packer.Gen) -> No action taken.
Добавлено через 48 секунд
Сообщите, что с проблемами.
Последний раз редактировалось Techno; 05.12.2011 в 22:04.
Причина: Добавлено
-
-
Сообщение от
DreamFire
Как там мой фаил карантина ? если там файла нету. то я успел его поймать и упаковать в архив... при быстпрой выгрузки из трея
там пусто, запакуйте в zip архив с паролем virus и пришлите. В будущем на время выполнения скриптов отключайте антивирус.
-
-
Junior Member
- Вес репутации
- 46
Techno, Боязно удалять, поьом я их завускать смогу ?
cmd.exe
msconfig.exe
regedit.exe
regedit32.exe
-
Сообщение от
DreamFire
cmd.exe
msconfig.exe
regedit.exe
regedit32.exe
Вы не файлы удалите, а записи в реестре.
-
-
Junior Member
- Вес репутации
- 46
Techno, Файл на карантин прикрепил вместе с файлом desktop.ini побоялся открывать папку. запоковал вместе.
Строчки что сказали удалил. компьтер потребовал перезагрузку.
C:\Documents and Settings\Admin\Local Settings\Temp В этой папке которую иногда очишаю обнаружил 2 таких лога.
sarscan.log ---- Sophos Anti-Rootkit Version 1.5.20
uxeventlog.txt ---- в заголовке указан он Watson UX Data Logging started
Последний раз редактировалось DreamFire; 05.12.2011 в 23:14.
Причина: дописание из какой программы логи