Есть вирус или нет?

**highwaystar** · 24.08.2009, 14:57

Здравствуйте. В этих делах не_профессионал. Почему то сильно грузиться винда при запуске. Может звредина какая?
И еще вопрос при проверке Антивирусом Зайцева, появлялись предупреждения разного характрера, типо "Доступ к C$, D$ разрешен" и др.
Как собственно можно эти "дырочки" залатать? Заранее спасибо тем кто откликнется и поможет.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Белый Сокол** · 24.08.2009, 14:58

Здравствуйте!

Выполните, пожалуйста, эти правила.

**highwaystar** · 24.08.2009, 15:00

Блин, забыл вложить сразу. АП.

**Rene-gad** · 24.08.2009, 15:33

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('zzngo');
 StopService('ztzgr');
 StopService('zqqctqc');
 StopService('zowohibut');
 StopService('zgymw');
 StopService('zcvjl');
 StopService('zcmgaku');
 StopService('zabhrj');
 StopService('yvtpz');
 StopService('yjnabig');
 StopService('yaagdg');
 StopService('xsumchdn');
 StopService('xsjltgixe');
 StopService('xhtxzqdtx');
 StopService('xgtvg');
 StopService('wwdetru');
 StopService('wphfzuqk');
 StopService('wmvroozik');
 StopService('vxkjrrn');
 StopService('vxare');
 StopService('vmbgrqlnz');
 StopService('vjyhhcrj');
 StopService('vjgvhujk');
 StopService('uoctlfcwx');
 StopService('ultyimcd');
 StopService('tovwzexhk');
 StopService('slkuk');
 StopService('skyqlta');
 StopService('rspms');
 StopService('reebbbjp');
 StopService('razjgon');
 StopService('qyftw');
 StopService('qqcsdsjw');
 StopService('qozaux');
 StopService('qlyimu');
 StopService('qeevodbk');
 StopService('qbqdizieh');
 StopService('pyqmkegp');
 StopService('pqyrwmia');
 StopService('plqfwbxlr');
 StopService('opbocnwid');
 StopService('onjslw');
 StopService('olhhc');
 StopService('ogstkdpcu');
 StopService('oejfxug');
 StopService('nzxiru');
 StopService('ntqak');
 StopService('njkuq');
 StopService('nganqo');
 StopService('nbtwnf');
 StopService('natlimub');
 StopService('mztzty');
 StopService('mufsirwv');
 StopService('mptriy');
 StopService('mpedcx');
 StopService('lwwnkmre');
 StopService('laxfxepdx');
 StopService('khzdrtn');
 StopService('kedcwl');
 StopService('kdwfoas');
 StopService('kdltoisqo');
 StopService('jxjhaay');
 StopService('jjrad');
 StopService('jdalxw');
 StopService('iwhmqtwy');
 StopService('hysnxix');
 StopService('hwvibdit');
 StopService('hujue');
 StopService('hnddvowv');
 StopService('gungwoc');
 StopService('gpobffj');
 StopService('gpcln');
 StopService('gacwokys');
 StopService('fvmtyn');
 StopService('fpuchego');
 StopService('fncazst');
 StopService('ficfl');
 StopService('fdtpu');
 StopService('ewrri');
 StopService('ecxmqft');
 StopService('dvrkymdc');
 StopService('conpyow');
 StopService('cjxtwvuxf');
 StopService('awxsxtj');
 StopService('awjikc');
 StopService('afrst');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 DeleteService('zzngo');
 DeleteService('ztzgr');
 DeleteService('zqqctqc');
 DeleteService('zowohibut');
 DeleteService('zgymw');
 DeleteService('zcvjl');
 DeleteService('zcmgaku');
 DeleteService('zabhrj');
 DeleteService('yvtpz');
 DeleteService('yjnabig');
 DeleteService('yaagdg');
 DeleteService('xsumchdn');
 DeleteService('xhtxzqdtx');
 DeleteService('xgtvg');
 DeleteService('wwdetru');
 DeleteService('wphfzuqk');
 DeleteService('wmvroozik');
 DeleteService('wafdougo');
 DeleteService('vxkjrrn');
 DeleteService('vxare');
 DeleteService('vmbgrqlnz');
 DeleteService('vjyhhcrj');
 DeleteService('vjgvhujk');
 DeleteService('uzwsq');
 DeleteService('uoctlfcwx');
 DeleteService('ultyimcd');
 DeleteService('tovwzexhk');
 DeleteService('slkuk');
 DeleteService('skyqlta');
 DeleteService('rspms');
 DeleteService('reebbbjp');
 DeleteService('razjgon');
 DeleteService('qyftw');
 DeleteService('qqcsdsjw');
 DeleteService('qozaux');
 DeleteService('qlyimu');
 DeleteService('qbqdizieh');
 DeleteService('pyqmkegp');
 DeleteService('pqyrwmia');
 DeleteService('plqfwbxlr');
 DeleteService('opbocnwid');
 DeleteService('onjslw');
 DeleteService('olhhc');
 DeleteService('oejfxug');
 DeleteService('nzxiru');
 DeleteService('ntqak');
 DeleteService('njkuq');
 DeleteService('natlimub');
 DeleteService('mztzty');
 DeleteService('mufsirwv');
 DeleteService('mptriy');
 DeleteService('mpedcx');
 DeleteService('lwwnkmre');
 DeleteService('laxfxepdx');
 DeleteService('khzdrtn');
 DeleteService('kedcwl');
 DeleteService('kdwfoas');
 DeleteService('jxjhaay');
 DeleteService('jjrad');
 DeleteService('jdalxw');
 DeleteService('iwhmqtwy');
 DeleteService('hysnxix');
 DeleteService('hwvibdit');
 DeleteService('hujue');
 DeleteService('gungwoc');
 DeleteService('gpobffj');
 DeleteService('gacwokys');
 DeleteService('fvmtyn');
 DeleteService('fpuchego');
 DeleteService('fncazst');
 DeleteService('esfdhonp');
 DeleteService('ecxmqft');
 DeleteService('dvrkymdc');
 DeleteService('conpyow');
 DeleteService('cjxtwvuxf');
 DeleteService('awjikc');
 DeleteService('afrst');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFileMask('C:\WINDOWS\system32','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 BC_DeleteSvc('zzngo');
 BC_DeleteSvc('ztzgr');
 BC_DeleteSvc('zqqctqc');
 BC_DeleteSvc('zowohibut');
 BC_DeleteSvc('zgymw');
 BC_DeleteSvc('zcvjl');
 BC_DeleteSvc('zcmgaku');
 BC_DeleteSvc('zabhrj');
 BC_DeleteSvc('yvtpz');
 BC_DeleteSvc('yjnabig');
 BC_DeleteSvc('yaagdg');
 BC_DeleteSvc('xsumchdn');
 BC_DeleteSvc('xhtxzqdtx');
 BC_DeleteSvc('xgtvg');
 BC_DeleteSvc('wwdetru');
 BC_DeleteSvc('wphfzuqk');
 BC_DeleteSvc('wmvroozik');
 BC_DeleteSvc('wafdougo');
 BC_DeleteSvc('vxkjrrn');
 BC_DeleteSvc('vxare');
 BC_DeleteSvc('vmbgrqlnz');
 BC_DeleteSvc('vjyhhcrj');
 BC_DeleteSvc('vjgvhujk');
 BC_DeleteSvc('uzwsq');
 BC_DeleteSvc('uoctlfcwx');
 BC_DeleteSvc('ultyimcd');
 BC_DeleteSvc('tovwzexhk');
 BC_DeleteSvc('slkuk');
 BC_DeleteSvc('skyqlta');
 BC_DeleteSvc('rspms');
 BC_DeleteSvc('reebbbjp');
 BC_DeleteSvc('razjgon');
 BC_DeleteSvc('qyftw');
 BC_DeleteSvc('qqcsdsjw');
 BC_DeleteSvc('qozaux');
 BC_DeleteSvc('qlyimu');
 BC_DeleteSvc('qbqdizieh');
 BC_DeleteSvc('pyqmkegp');
 BC_DeleteSvc('pqyrwmia');
 BC_DeleteSvc('plqfwbxlr');
 BC_DeleteSvc('opbocnwid');
 BC_DeleteSvc('onjslw');
 BC_DeleteSvc('olhhc');
 BC_DeleteSvc('oejfxug');
 BC_DeleteSvc('nzxiru');
 BC_DeleteSvc('ntqak');
 BC_DeleteSvc('njkuq');
 BC_DeleteSvc('natlimub');
 BC_DeleteSvc('mztzty');
 BC_DeleteSvc('mufsirwv');
 BC_DeleteSvc('mptriy');
 BC_DeleteSvc('mpedcx');
 BC_DeleteSvc('lwwnkmre');
 BC_DeleteSvc('laxfxepdx');
 BC_DeleteSvc('khzdrtn');
 BC_DeleteSvc('kedcwl');
 BC_DeleteSvc('kdwfoas');
 BC_DeleteSvc('jxjhaay');
 BC_DeleteSvc('jjrad');
 BC_DeleteSvc('jdalxw');
 BC_DeleteSvc('iwhmqtwy');
 BC_DeleteSvc('hysnxix');
 BC_DeleteSvc('hwvibdit');
 BC_DeleteSvc('hujue');
 BC_DeleteSvc('gungwoc');
 BC_DeleteSvc('gpobffj');
 BC_DeleteSvc('gacwokys');
 BC_DeleteSvc('fvmtyn');
 BC_DeleteSvc('fpuchego');
 BC_DeleteSvc('fncazst');
 BC_DeleteSvc('esfdhonp');
 BC_DeleteSvc('ecxmqft');
 BC_DeleteSvc('dvrkymdc');
 BC_DeleteSvc('conpyow');
 BC_DeleteSvc('cjxtwvuxf');
 BC_DeleteSvc('awjikc');
 BC_DeleteSvc('afrst');
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**highwaystar** · 24.08.2009, 17:18

Здравстуйте еще раз.
Все пунты выполнил. Спасибо. Но почему то стал вылазить "Мастер оборудования" Непонятно чего хочет установить. А так система грузиться быстрее.
Логи.
Что дальше?

+Вопрос

Сообщение от highwaystar

И еще вопрос при проверке Антивирусом Зайцева, появлялись предупреждения разного характрера, типо "Доступ к C$, D$ разрешен" и др.
Как собственно можно эти "дырочки" залатать?

**Белый Сокол** · 24.08.2009, 17:32

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteService('xhtxzqdtx');
 QuarantineFile('C:\WINDOWS\system32\0163.tmp','');
 QuarantineFile('C:\WINDOWS\system32\0168.tmp','');
 DeleteService('wwdetru');
 QuarantineFile('C:\WINDOWS\system32\03.tmp','');
 DeleteService('gacwokys');
 DeleteFile('C:\WINDOWS\system32\03.tmp');
 DeleteFile('C:\WINDOWS\system32\0168.tmp');
 DeleteFile('C:\WINDOWS\system32\0163.tmp');
 DeleteFileMask('%Tmp%', '*.*', true); 
 BC_ImportAll;
 BC_DeleteSvc('xhtxzqdtx');
 BC_DeleteSvc('wwdetru');
 BC_DeleteSvc('gacwokys');
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

Повторите логи.

Дополнительно:
- Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

**highwaystar** · 24.08.2009, 18:42

Сделал проверки. Но возникали проблемы. В частности с HJThis при запуске писал: ~"Выглядит как будто вы запускаете программу с внешнего носителя "
Подозреваю виной этому был GMER. + не перезагружался Виндоус. Пришлось задней кнопкой польз.
Карантин прислал. ЛОГИ вот.
С запоздангие добавил лог syzecure

**Rene-gad** · 24.08.2009, 19:58

- Удалите Bonjour.

В логах ничего подозрительного. Жалобы есть?

**highwaystar** · 24.08.2009, 20:52

Rene-gad,
Белый Сокол, Спасибо Вам собственно.

Сообщение от highwaystar;455057т

+Вопрос
Цитата:
Сообщение от highwaystar Посмотреть сообщение
И еще вопрос при проверке Антивирусом Зайцева, появлялись предупреждения разного характера, типо "Доступ к C$, D$ разрешен" и др.
Как собственно можно эти "дырочки" залатать?

**Белый Сокол** · 24.08.2009, 21:21

Можете воспользоваться "Мастером поиска и устранения проблем" в AVZ.

Или выполните скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

Советую вам прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

**CyberHelper** · 25.08.2009, 21:21

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 6
В ходе лечения вредоносные программы в карантинах не обнаружены

Есть вирус или нет? (заявка № 52830)

Опции темы

Есть вирус или нет?

Итог лечения

Похожие темы

Вирус есть ?

Есть ли вирус на ПК?

Помогите!!! Вирус есть, но он как суслик - Видеш его - нет - А он там есть!!!

вирус))) просто вирус ниче сложного но он есть(((

Есть подозрение что есть вирус

Метки для этой темы

Ваши права в разделе