Медленно работает компьютер... [Trojan.Win32.Inject.exjr, Trojan-Ransom.Win32.Blocker.ruh ]

**BigTim** · 03.01.2013, 11:27

Здравствуйте!
У меня недавно был вирус,который открывает совершенно левые вкладки со спамом автоматически,но уже месяц как он не проявляет активности,но после этого с компом начали происходить проблемы:Ни как не обновляется антивирус, Процессор нагружен,все работает гораздо медленнее...
прошу вас помочь мне решить эту проблему.

Необходимые логи:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.01.2013, 11:31

Уважаемый(ая) BigTim, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Techno** · 03.01.2013, 17:01

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\Владелец\application data\nethosts2.exe');
 TerminateProcessByName('c:\documents and settings\Владелец\local settings\temp\kxfjmqzl.exe');
 TerminateProcessByName('c:\documents and settings\Владелец\msdata\explorer.exe');
 TerminateProcessByName('c:\documents and settings\Владелец\local settings\temp\cwaomsgg.exe');
 TerminateProcessByName('c:\documents and settings\Владелец\application data\cmdhost0.exe');
 TerminateProcessByName('c:\documents and settings\Владелец\application data\a2092652348.exe');
 TerminateProcessByName('c:\documents and settings\Владелец\application data\a-2079576971.exe');
 QuarantineFile('C:\WINDOWS\system32\63.exe','');
 QuarantineFile('C:\WINDOWS\system32\52.exe','');
 QuarantineFile('C:\WINDOWS\system32\51.exe','');
 QuarantineFile('C:\WINDOWS\system32\46.exe','');
 QuarantineFile('C:\WINDOWS\system32\44.exe','');
 QuarantineFile('C:\WINDOWS\system32\43.exe','');
 QuarantineFile('C:\WINDOWS\system32\41.exe','');
 QuarantineFile('C:\WINDOWS\system32\34.exe','');
 QuarantineFile('C:\WINDOWS\system32\33.exe','');
 QuarantineFile('C:\WINDOWS\system32\27.exe','');
 QuarantineFile('C:\WINDOWS\system32\23.exe','');
 QuarantineFile('C:\WINDOWS\system32\22.exe','');
 QuarantineFile('C:\WINDOWS\system32\20.exe','');
 QuarantineFile('C:\WINDOWS\system32\18.exe','');
 QuarantineFile('C:\WINDOWS\system32\12.exe','');
 QuarantineFile('C:\WINDOWS\system32\08.exe','');
 QuarantineFile('C:\WINDOWS\system32\06.exe','');
 QuarantineFile('C:\WINDOWS\system32\02.exe','');
 QuarantineFile('C:\WINDOWS\system32\00.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Мои документы\Windows\svchoster_update.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Мои документы\Windows\newhost.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\msdata\iexplorer.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\msdata\comodesr.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Local Settings\Temp\znatdvje.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Local Settings\Temp\upjesmoo.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Local Settings\Temp\palwavgi.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('c:\documents and settings\Владелец\application data\nethosts2.exe','');
 QuarantineFile('c:\documents and settings\Владелец\local settings\temp\kxfjmqzl.exe','');
 QuarantineFile('c:\documents and settings\Владелец\msdata\explorer.exe','');
 QuarantineFile('c:\documents and settings\Владелец\local settings\temp\cwaomsgg.exe','');
 QuarantineFile('c:\documents and settings\Владелец\application data\cmdhost0.exe','');
 QuarantineFile('c:\documents and settings\Владелец\application data\a2092652348.exe','');
 QuarantineFile('c:\documents and settings\Владелец\application data\a-2079576971.exe','');
 DeleteFile('c:\documents and settings\Владелец\msdata\explorer.exe');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\Documents and Settings\Владелец\Application Data\A-2079576971.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Application Data\A2092652348.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Application Data\CMDHost0.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Application Data\Nethosts2.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Local Settings\Temp\cwaomsgg.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Local Settings\Temp\kxfjmqzl.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Local Settings\Temp\palwavgi.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Local Settings\Temp\upjesmoo.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Local Settings\Temp\znatdvje.exe');
 DeleteFile('C:\Documents and Settings\Владелец\msdata\comodesr.exe');
 DeleteFile('C:\Documents and Settings\Владелец\msdata\iexplorer.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Мои документы\Windows\newhost.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Мои документы\Windows\svchoster_update.exe');
 DeleteFile('C:\WINDOWS\system32\00.exe');
 DeleteFile('C:\WINDOWS\system32\02.exe');
 DeleteFile('C:\WINDOWS\system32\06.exe');
 DeleteFile('C:\WINDOWS\system32\08.exe');
 DeleteFile('C:\WINDOWS\system32\12.exe');
 DeleteFile('C:\WINDOWS\system32\18.exe');
 DeleteFile('C:\WINDOWS\system32\20.exe');
 DeleteFile('C:\WINDOWS\system32\22.exe');
 DeleteFile('C:\WINDOWS\system32\23.exe');
 DeleteFile('C:\WINDOWS\system32\27.exe');
 DeleteFile('C:\WINDOWS\system32\33.exe');
 DeleteFile('C:\WINDOWS\system32\34.exe');
 DeleteFile('C:\WINDOWS\system32\41.exe');
 DeleteFile('C:\WINDOWS\system32\43.exe');
 DeleteFile('C:\WINDOWS\system32\44.exe');
 DeleteFile('C:\WINDOWS\system32\46.exe');
 DeleteFile('C:\WINDOWS\system32\51.exe');
 DeleteFile('C:\WINDOWS\system32\52.exe');
 DeleteFile('C:\WINDOWS\system32\63.exe');
 DeleteFile('C:\WINDOWS\system32\66.exe');
 DeleteFile('C:\WINDOWS\system32\70.exe');
 DeleteFile('C:\WINDOWS\system32\72.exe');
 DeleteFile('C:\WINDOWS\system32\74.exe');
 DeleteFile('C:\WINDOWS\system32\81.exe');
 DeleteFile('C:\WINDOWS\system32\82.exe');
 DeleteFile('C:\WINDOWS\system32\83.exe');
 DeleteFile('C:\WINDOWS\system32\87.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','A-2079576971');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','A-2079576971.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','A-2079576971');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','A2092652348');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','A2092652348');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMDHost');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nethosts');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cwaomsgg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kxfjmqzl.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Winlogon');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','upjesmoo.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ECM');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','comodesr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Explorer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Explorer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nethost');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Winsvchost1');
 DeleteService('vxhhi');
 DeleteService('thjroyu');
 DeleteService('pplaio');
 DeleteService('pmtbnhxn');
 DeleteService('lutdkma');
 DeleteService('fhrrainia');
 DeleteService('ffxvf');
 DeleteService('drhqm');
 DeleteService('cvtht');
 DeleteService('cqchetku');
 DeleteFileMask('c:\documents and settings\Владелец\msdata','*',true);
 DeleteDirectory('c:\documents and settings\Владелец\msdata');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Установите новый Internet Explorer, а также все доступные обновления для Windows

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

После всех обновлений:
- Повторите логи.

- Сделайте лог полного сканирования MBAM.

**CyberHelper** · 03.01.2013, 17:11

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 99
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\владелец\\application data\\a-2079576971.exe - Trojan.Win32.Inject.ezxl
2. c:\\documents and settings\\владелец\\application data\\a2092652348.exe - Trojan.Win32.Inject.eywm ( DrWEB: Trojan.DownLoader7.38018, AVAST4: Win32:AutoIt-BHH [Trj] )
3. c:\\documents and settings\\владелец\\application data\\cmdhost0.exe - Trojan-Ransom.Win32.Blocker.ruh ( DrWEB: Trojan.Winlock.7491, BitDefender: Trojan.Generic.KDV.798620, AVAST4: Win32:Malware-gen )
4. c:\\documents and settings\\владелец\\application data\\nethosts2.exe - Trojan-Ransom.Win32.Blocker.rxr ( DrWEB: Trojan.DownLoader7.33865, BitDefender: Trojan.Generic.8236930, AVAST4: Win32:Malware-gen )
5. c:\\documents and settings\\владелец\\local settings\\temp\\cwaomsgg.exe - Trojan.Win32.Inject.ezvn
6. c:\\documents and settings\\владелец\\local settings\\temp\\kxfjmqzl.exe - Trojan.Win32.Inject.ezvn
7. c:\\documents and settings\\владелец\\local settings\\temp\\palwavgi.exe - Trojan.Win32.Inject.exjr ( DrWEB: Trojan.DownLoader7.39558, BitDefender: Trojan.Generic.8436099, AVAST4: Win32:AutoIt-BHJ [Trj] )
8. c:\\documents and settings\\владелец\\local settings\\temp\\upjesmoo.exe - Trojan.Win32.Inject.ezvn
9. c:\\documents and settings\\владелец\\local settings\\temp\\znatdvje.exe - Backdoor.Win32.ZAccess.zmv ( DrWEB: Trojan.DownLoader7.39558, BitDefender: Trojan.AutoIt.AYT, AVAST4: Win32:AutoIt-BHO [Trj] )
10. c:\\documents and settings\\владелец\\msdata\\comodesr.exe - Trojan.Win32.Inject.ezxl
11. c:\\documents and settings\\владелец\\msdata\\explorer.exe - Trojan.MSIL.Agent.ahtx ( DrWEB: Trojan.DownLoader7.28656, BitDefender: Gen:Variant.Strictor.15745, AVAST4: MSIL:Dropper-YI [Drp] )
12. c:\\documents and settings\\владелец\\msdata\\iexplorer.exe - Trojan.MSIL.Agent.ahtx ( DrWEB: Trojan.DownLoader7.28656, BitDefender: Gen:Variant.Strictor.15745, AVAST4: MSIL:Dropper-YI [Drp] )

Медленно работает компьютер... [Trojan.Win32.Inject.exjr, Trojan-Ransom.Win32.Blocker.ruh ] (заявка № 129689)

Опции темы

Медленно работает компьютер... [Trojan.Win32.Inject.exjr, Trojan-Ransom.Win32.Blocker.ruh ]

Итог лечения

Похожие темы

Медленно работает компьютер

компьютер медленно работает

Очень медленно работает компьютер

Медленно работает компьютер

Компьютер медленно работает

Метки для этой темы

Ваши права в разделе