-
Junior Member
- Вес репутации
- 54
Тормозит комп и интернет
Здравствуйте!
Следующая проблема: с недавних пор стал сильно тормозить комп, был проверен AVPTool, CureIt и Нодом. Всякий раз кто-нибудь из них что-нибудь находил, удалял, но потом опять начинались тормоза и что-то находилось снова. В процессе проверок был найден и удалён файл secupdat.dat, который содержал трояна-спамбота. Но, после этого тормоза продолжились, главным образом, в интернете: медленно открываются странички, периодические скачки пинга. Провайдер божится, что все хорошо. Собственно, теперь надежда на вас Поможите люди добрые, логи во вложении. Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\System Volume Information\_restore{F7A3B6FF-162B-4ED5-9CFA-2DE44B29B05D}\RP510\A0596024.exe:exe.exe:$DATA','');
DeleteFile('C:\System Volume Information\_restore{F7A3B6FF-162B-4ED5-9CFA-2DE44B29B05D}\RP510\A0596024.exe:exe.exe:$DATA');
StopService('ing7yy6j3uy8r');
QuarantineFile('C:\WINDOWS\system32\fijodu.exe','');
DeleteService('ing7yy6j3uy8r');
DeleteFile('C:\WINDOWS\system32\fijodu.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.
+ Сделайте такой лог Gmer
Последний раз редактировалось polword; 06.02.2010 в 22:49.
-
-
Junior Member
- Вес репутации
- 54
Вот лог Gmer'a, наконец-то доделался. что-то нашел. После запуска проги этой, почему-то svchost и wuaclt грузят проц на 100%, по 50% на процесс
-
Junior Member
- Вес репутации
- 54
Логи по пунктам 2 и 3. Карантин сейчас вышлю
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
DeleteService('protect');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 54
Скрипт выполнил.
Все время смущает вот эта фраза при эвристическом анализе:
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "obvious"
В логах Gmer'a было упоминание об этом, посмотрите, пожалуйста.
-
карантин выслали? по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 54
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 54
Все сделал, как вы написали. при попытке отослать карантин выдает такое:
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Edit: щас поглядел, пусто в архиве с карантином
Ребят, после выполнения двух предыдущих скриптов не сохраняется карантин, пусто в архиве
Последний раз редактировалось KeeperDS; 07.02.2010 в 18:23.
-
C:\WINDOWS\system32\DRIVERS\obvious.sys - в карантин не попал попробуйте его пискать через авз - сервис- поиск файлов на диске ... если найдется запакуйте его с паролем virus и пришлите его по ссылке Прислать запрошенный карантин вверху темы
- Выполните скрипт в AVZ
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
AddToLog('Удаление скрытого сервиса '+'obvious'+' - Результат:'+inttostr(BC_ServiceKill('obvious')) );
DeleteFile('C:\WINDOWS\system32\DRIVERS\obvious.sys');
BC_ImportAll;
ExecuteSysClean;
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Прикрепите также файл avz_log.txt из папки AVZ
Последний раз редактировалось polword; 08.02.2010 в 09:29.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
C:\WINDOWS\system32\DRIVERS\obvious.sys - не находится АВЗ.
Кстати, вчера заметил, что в процессах, после всего этого лечения, висит странный процесс под названием dllhost.exe, запускаемый системой. Не в курсе, что это??
-
Junior Member
- Вес репутации
- 54
C:\WINDOWS\system32\DRIVERS\obvious.sys - ни АВЗ, ни Gmer не находят. обычным поиском находится только какой-то obvious.CAT
Логи во вложении.
-
запакуйте obvious.CAT с паролем virus и пришлите его по ссылке Прислать запрошенный карантин вверху темы
в логах чисто.
Необходимо поставить:
- все обновления системы Windows - тут
- Установить Internet-Explorer 8.(даже если Вы его не используете)
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\_restore{f7a3b6ff-162b-4ed5-9cfa-2de44b29b05d}\rp510\a0596024.exe:exe.exe:$data - Trojan.Win32.Crypt.bja ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Injector.DS, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Riern-AC [Trj] )
-