Есть подозрение что в ПК "что-то завелось", но найти что именно не могу

[MorDa]

Итак. Всё началось около 2-3-х недель назад (по-моему ни с того ни с сего): сперва начал довольно часто вылетать firefox, кроме того иногда он сам подменял домашнюю страницу. С этим я ещё мирился (хотя и просканировал систему несколькими утилитами). Потом (около недели назад) я (сам не знаю что на меня нашло) загрузил и установил какую-то прогу для какого-то контроля компьютеров в локальной сети. Вот тут-то всё и началось. Сначала система несколько раз перезагрузилась, написала что компьютер восстановлен после фатальной ошибки, слетели настройки интернета, комп стал постоянно отправлять по сетке какие-то таинственные запросы неизвестно куда. Инет я снова настроил, пробежался по ПК авастом, авз-том и RemoveIT. Каждый из них что-то нашёл (вроде всё это я вылечил/удалил). Ошибок стало меньше, но комп сейчас довольно долго загружается (после введения пароля грузится около 2-3х минут), по-прежнему регулярно вылетает "огнелис". К тому же в диспетчере задач появились "беспокойные" процессы. Вот одни из них: csrss_tc (постоянно занимает около 3-20% ЦП (Целерон 2,8 ГГц.)), появился ещё один svchost, также "подвисающий" систему (ЦП - до 10% и ОЗУ/Виртуальная память - около 20МБ/20МБ).

[V_Bond]

выполните скрипт ....

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\csrss_tc.exe','');
 QuarantineFile('Winde_lrsmn.sys','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[MorDa]

Карантин выслал (второй раз, в первый я не добавил "Winde_lrsmn.sys"). Меня насторожило что после выполнения скрипта (и перезагрузки) комп при загрузке (после авторизации) жёстко вис, и так несколько раз.
Кстати, процесс csrss_tc "неубиваем". После закрытия он снова появляется.

[V_Bond]

Меня насторожило что после выполнения скрипта (и перезагрузки) комп при загрузке (после авторизации) жёстко вис, и так несколько раз.

видимо это связано с началом сезона муссонов , на западном побережье индокитая ....
скрипт ничего не делал ... кроме попытки скопировать два файла ...
один из которых попал в карантин C:\WINDOWS\system32\csrss_tc.exe он чистый ...
Winde_lrsmn.sys поробуйте поискать при помощи авз(сервис -поиск файлов на диске ) и прислать по правилам

[MorDa]

видимо это связано с началом сезона муссонов , на западном побережье индокитая ....

Я тоже так подумал ))

Winde_lrsmn.sys поробуйте поискать при помощи авз(сервис -поиск файлов на диске ) и прислать по правилам

Отправил. Просто в первый раз я немного "погорячился", отправив только первый файл,.. простите

[V_Bond]

выполните скрипт ...

Код:

begin
  BC_DeleteSvc('Winde_lrsmn');
BC_Activate;
RebootWindows(true);
end.

у вас к огнелису прикручено очень много всего ... скорее причина плохой работы в этом ...

[MorDa]

Ещё раз Здравствуйте. Прошлую свою проблему я решил переустановкой окон (НЕстабильность системы меня убивала). Потом почистил все диски несколькими антивирусами - ничего не было. Объяснил всем на работе (компьютером пользуются кроме меня 3 человека) что ни в коем случае НЕЛЬЗЯ шариться по всякого рода порносайтам. НО один особо "голодный" не послушался и на следующий день я, каждый раз при открытии любой папки, видел такое сообщение
При нажатии "ОК" компьютер загружал какую-то "псевдо-антивирусную" (!) программу, которая сканировала систему и моментально находила целую кучу троянов и т.д. Естественно я не стал лечиться и удалил это приложение Но думаю что что-то (какая-то гадость) осталось. Дело в том что "RemoveIT Pro v4" находит два опасных объекта, но удалить их не может. Пытался вручную их удалить, но таких папок (указанных в пути к этим файлам) на диске нет. Логи прилагаю.

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\iebho.dll','');
 DeleteFile('C:\WINDOWS\iebho.dll');
 DelBHO('{95E1D855-9232-48F7-80D9-1ADB65B7939C}');
 DelBHO('{21BC9DFA-3E14-4753-9CBD-16A009AE1144}');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Пофиксить в HijackThis следующие строчки

Код:

 	O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm427YYUA
	O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-3/PopularScreenSavers FWBInitialSetup1.0.1.0.cab

Добавлено через 50 секунд

пришлите карантин и повторите логи.

[MorDa]

Сделано...

[akok]

C:\WINDOWS\iebho.dll - Trojan-Downloader.Win32.Peregar.hy

Добавлено через 4 минуты

Очистите корзину и кеш интернета.


Кикие проблемы наблюдаются?

[MorDa]

Очистил. А проблем пока нет, кроме того что файла iebho.dll на диске нет (или его уже не должно быть ?).

[akok]

(или его уже не должно быть ?).

Угадали

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\iebho.dll - Trojan-Downloader.Win32.Peregar.hy (DrWEB: Trojan.PWS.Banker.20215)