Показано с 1 по 15 из 15.

Тормозит комп и интернет (заявка № 70453)

  1. #1
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    10
    Вес репутации
    27

    Exclamation Тормозит комп и интернет

    Здравствуйте!

    Следующая проблема: с недавних пор стал сильно тормозить комп, был проверен AVPTool, CureIt и Нодом. Всякий раз кто-нибудь из них что-нибудь находил, удалял, но потом опять начинались тормоза и что-то находилось снова. В процессе проверок был найден и удалён файл secupdat.dat, который содержал трояна-спамбота. Но, после этого тормоза продолжились, главным образом, в интернете: медленно открываются странички, периодические скачки пинга. Провайдер божится, что все хорошо. Собственно, теперь надежда на вас Поможите люди добрые, логи во вложении. Спасибо
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\System Volume Information\_restore{F7A3B6FF-162B-4ED5-9CFA-2DE44B29B05D}\RP510\A0596024.exe:exe.exe:$DATA','');
     DeleteFile('C:\System Volume Information\_restore{F7A3B6FF-162B-4ED5-9CFA-2DE44B29B05D}\RP510\A0596024.exe:exe.exe:$DATA');
     StopService('ing7yy6j3uy8r');
     QuarantineFile('C:\WINDOWS\system32\fijodu.exe','');
     DeleteService('ing7yy6j3uy8r');
     DeleteFile('C:\WINDOWS\system32\fijodu.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.

    + Сделайте такой лог Gmer
    Последний раз редактировалось polword; 06.02.2010 в 22:49.

  4. #3
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    10
    Вес репутации
    27
    Вот лог Gmer'a, наконец-то доделался. что-то нашел. После запуска проги этой, почему-то svchost и wuaclt грузят проц на 100%, по 50% на процесс
    Вложения Вложения
    • Тип файла: log gmer.log (71.9 Кб, 8 просмотров)

  5. #4
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    10
    Вес репутации
    27
    Логи по пунктам 2 и 3. Карантин сейчас вышлю
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     DeleteService('protect');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  7. #6
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    10
    Вес репутации
    27
    Скрипт выполнил.

    Все время смущает вот эта фраза при эвристическом анализе:

    7. Эвристичеcкая проверка системы
    >>> Подозрение на маскировку ключа реестра службы\драйвера "obvious"

    В логах Gmer'a было упоминание об этом, посмотрите, пожалуйста.
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    карантин выслали? по ссылке Прислать запрошенный карантин вверху темы

  9. #8
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    10
    Вес репутации
    27
    Выслал

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
     BC_ImportAll;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  11. #10
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    10
    Вес репутации
    27
    Все сделал, как вы написали. при попытке отослать карантин выдает такое:

    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен

    Edit: щас поглядел, пусто в архиве с карантином

    Ребят, после выполнения двух предыдущих скриптов не сохраняется карантин, пусто в архиве
    Последний раз редактировалось KeeperDS; 07.02.2010 в 18:23.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    C:\WINDOWS\system32\DRIVERS\obvious.sys - в карантин не попал попробуйте его пискать через авз - сервис- поиск файлов на диске ... если найдется запакуйте его с паролем virus и пришлите его по ссылке Прислать запрошенный карантин вверху темы

    - Выполните скрипт в AVZ
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
     
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     AddToLog('Удаление скрытого сервиса '+'obvious'+' - Результат:'+inttostr(BC_ServiceKill('obvious')) );
     DeleteFile('C:\WINDOWS\system32\DRIVERS\obvious.sys');
     BC_ImportAll;
     ExecuteSysClean;
     SaveLog(GetAVZDirectory+'avz_log.txt');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip
    - Прикрепите также файл avz_log.txt из папки AVZ
    Последний раз редактировалось polword; 08.02.2010 в 09:29. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    10
    Вес репутации
    27
    C:\WINDOWS\system32\DRIVERS\obvious.sys - не находится АВЗ.

    Кстати, вчера заметил, что в процессах, после всего этого лечения, висит странный процесс под названием dllhost.exe, запускаемый системой. Не в курсе, что это??
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    10
    Вес репутации
    27
    C:\WINDOWS\system32\DRIVERS\obvious.sys - ни АВЗ, ни Gmer не находят. обычным поиском находится только какой-то obvious.CAT

    Логи во вложении.
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    запакуйте obvious.CAT с паролем virus и пришлите его по ссылке Прислать запрошенный карантин вверху темы

    в логах чисто.
    Необходимо поставить:
    - все обновления системы Windows - тут
    - Установить Internet-Explorer 8.(даже если Вы его не используете)

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,520
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\system volume information\_restore{f7a3b6ff-162b-4ed5-9cfa-2de44b29b05d}\rp510\a0596024.exe:exe.exe:$data - Trojan.Win32.Crypt.bja ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Injector.DS, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Riern-AC [Trj] )


  • Уважаемый(ая) KeeperDS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 22.07.2012, 17:21
    2. Тормозит комп и интернет,взломали почту
      От BLABLA в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.07.2012, 01:38
    3. Тормозит интернет и виснет комп
      От agent3 в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 07.09.2010, 16:03
    4. Тормозит комп и интернет...
      От Фунтяра в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.06.2010, 12:17
    5. Страшно тормозит комп+интернет!
      От armona66 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.12.2008, 11:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01357 seconds with 22 queries