Тормозит комп и интернет

**KeeperDS** · 06.02.2010, 22:32

Здравствуйте!

Следующая проблема: с недавних пор стал сильно тормозить комп, был проверен AVPTool, CureIt и Нодом. Всякий раз кто-нибудь из них что-нибудь находил, удалял, но потом опять начинались тормоза и что-то находилось снова. В процессе проверок был найден и удалён файл secupdat.dat, который содержал трояна-спамбота. Но, после этого тормоза продолжились, главным образом, в интернете: медленно открываются странички, периодические скачки пинга. Провайдер божится, что все хорошо. Собственно, теперь надежда на вас

Поможите люди добрые

, логи во вложении. Спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 06.02.2010, 22:44

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\System Volume Information\_restore{F7A3B6FF-162B-4ED5-9CFA-2DE44B29B05D}\RP510\A0596024.exe:exe.exe:$DATA','');
 DeleteFile('C:\System Volume Information\_restore{F7A3B6FF-162B-4ED5-9CFA-2DE44B29B05D}\RP510\A0596024.exe:exe.exe:$DATA');
 StopService('ing7yy6j3uy8r');
 QuarantineFile('C:\WINDOWS\system32\fijodu.exe','');
 DeleteService('ing7yy6j3uy8r');
 DeleteFile('C:\WINDOWS\system32\fijodu.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.

+ Сделайте такой лог Gmer

**KeeperDS** · 07.02.2010, 03:12

Вот лог Gmer'a, наконец-то доделался. что-то нашел. После запуска проги этой, почему-то svchost и wuaclt грузят проц на 100%, по 50% на процесс

**KeeperDS** · 07.02.2010, 03:49

Логи по пунктам 2 и 3. Карантин сейчас вышлю

**V_Bond** · 07.02.2010, 10:57

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 DeleteService('protect');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

**KeeperDS** · 07.02.2010, 14:30

Скрипт выполнил.

Все время смущает вот эта фраза при эвристическом анализе:

7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "obvious"

В логах Gmer'a было упоминание об этом, посмотрите, пожалуйста.

**polword** · 07.02.2010, 14:55

карантин выслали? по ссылке Прислать запрошенный карантин вверху темы

**KeeperDS** · 07.02.2010, 15:00

Выслал

**polword** · 07.02.2010, 15:32

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

**KeeperDS** · 07.02.2010, 16:48

Все сделал, как вы написали. при попытке отослать карантин выдает такое:

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

Edit: щас поглядел, пусто в архиве с карантином

Ребят, после выполнения двух предыдущих скриптов не сохраняется карантин, пусто в архиве

**polword** · 08.02.2010, 08:04

C:\WINDOWS\system32\DRIVERS\obvious.sys - в карантин не попал попробуйте его пискать через авз - сервис- поиск файлов на диске ... если найдется запакуйте его с паролем virus и пришлите его по ссылке Прислать запрошенный карантин вверху темы

- Выполните скрипт в AVZ

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
 
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 AddToLog('Удаление скрытого сервиса '+'obvious'+' - Результат:'+inttostr(BC_ServiceKill('obvious')) );
 DeleteFile('C:\WINDOWS\system32\DRIVERS\obvious.sys');
 BC_ImportAll;
 ExecuteSysClean;
 SaveLog(GetAVZDirectory+'avz_log.txt');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Прикрепите также файл avz_log.txt из папки AVZ

**KeeperDS** · 08.02.2010, 19:53

C:\WINDOWS\system32\DRIVERS\obvious.sys - не находится АВЗ.

Кстати, вчера заметил, что в процессах, после всего этого лечения, висит странный процесс под названием dllhost.exe, запускаемый системой. Не в курсе, что это??

**KeeperDS** · 08.02.2010, 20:01

C:\WINDOWS\system32\DRIVERS\obvious.sys - ни АВЗ, ни Gmer не находят. обычным поиском находится только какой-то obvious.CAT

Логи во вложении.

**polword** · 08.02.2010, 22:12

запакуйте obvious.CAT с паролем virus и пришлите его по ссылке Прислать запрошенный карантин вверху темы

в логах чисто.
Необходимо поставить:
- все обновления системы Windows - тут
- Установить Internet-Explorer 8.(даже если Вы его не используете)

**CyberHelper** · 09.02.2010, 22:12

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 11
В ходе лечения обнаружены вредоносные программы:
1. c:\system volume information\_restore{f7a3b6ff-162b-4ed5-9cfa-2de44b29b05d}\rp510\a0596024.exe:exe.exe:$data - Trojan.Win32.Crypt.bja ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Injector.DS, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Riern-AC [Trj] )

Тормозит комп и интернет (заявка № 70453)

Опции темы

Тормозит комп и интернет

Итог лечения

Похожие темы

Тормозит комп и интернет,взломали почту N2

Тормозит комп и интернет,взломали почту

Тормозит интернет и виснет комп

Тормозит комп и интернет...

Страшно тормозит комп+интернет!

Ваши права в разделе