Компьютер стал медленно работать, в том числе и интернет, нет доступа на сайты связанные с комп. безопастностью. В процессах появились новые апликации exe.
Dr.Web не нашел ничего.
Выкладываю логи.
Компьютер стал медленно работать, в том числе и интернет, нет доступа на сайты связанные с комп. безопастностью. В процессах появились новые апликации exe.
Dr.Web не нашел ничего.
Выкладываю логи.
Отключите восстановление системы
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог gmerКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\WINDOWS\system32\18.scr',''); QuarantineFile('F:\WINDOWS\system32\umdmgr.exe',''); QuarantineFile('F:\WINDOWS\system32\syre32.exe',''); QuarantineFile('F:\WINDOWS\system32\drivers\Instmsi.exe',''); QuarantineFile('F:\WINDOWS\jjdrive32.exe',''); QuarantineFile('F:\RECYCLER\S-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe',''); QuarantineFile('F:\Program Files\n52te\n52teHid.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe',''); QuarantineFile('F:\Documents and Settings\Admin\Application Data\Mikogo\B-Service.exe',''); QuarantineFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\mc22.tmp',''); QuarantineFile('F:\WINDOWS\SnoopFreeDll.dll',''); QuarantineFile('f:\windows\system32\snoopfreesvc.exe',''); QuarantineFile('f:\windows\jjdrive32.exe',''); TerminateProcessByName('f:\windows\jjdrive32.exe'); QuarantineFile('f:\windows\system32\drivers\instmsi.exe',''); TerminateProcessByName('f:\windows\system32\drivers\instmsi.exe'); QuarantineFile('f:\program files\common files\adobearms.exe',''); QuarantineFile('f:\docume~1\admin\locals~1\temp\451.exe',''); TerminateProcessByName('f:\docume~1\admin\locals~1\temp\451.exe'); DeleteFile('f:\docume~1\admin\locals~1\temp\451.exe'); DeleteFile('f:\windows\system32\drivers\instmsi.exe'); DeleteFile('f:\windows\jjdrive32.exe'); DeleteFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\mc22.tmp'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe'); DeleteFile('F:\RECYCLER\S-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe'); DeleteFile('F:\WINDOWS\jjdrive32.exe'); DeleteFile('F:\WINDOWS\system32\drivers\Instmsi.exe'); DeleteFile('F:\WINDOWS\system32\syre32.exe'); DeleteFile('F:\WINDOWS\system32\umdmgr.exe'); DeleteFile('F:\WINDOWS\system32\18.scr'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(6); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end.
Карантин загрузил, выкладываю логи. Gmer скан два раза сорвался, экран становился синним, появлялись нечитабельные знаки кроме "stop" и где-то дальше "Windows logon process"
КидоКиллером надо провериться http://support.kaspersky.ru/faq/?qid=208636215
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
КидоКиллер сработал, теперь есть доступ на сайты связанные с комп. безопастностью.
Что нужно еще проверить?
Надо логи повторить, полный комплект.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выкладываю новые логи.
Следующая пачка:
Профиксить:
потом скрипт:Код:O4 - HKLM\..\Run: [patches] 1
Логи потом повторите.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\RECYCLER\S-1-5-21-0249335051-3512211965-849074213-6867\syscr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('f:\windows\cidrive32.exe',''); DeleteFile('f:\windows\cidrive32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('F:\RECYCLER\S-1-5-21-0249335051-3512211965-849074213-6867\syscr.exe'); DeleteFile('F:\WINDOWS\cidrive32.exe'); BC_ImportDeletedList; ExecuteRepair(6); ExecuteRepair(8); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал то что написали выше, сделал логи которые и выкладываю, но после снова не мог зайти не сайт. Запустил опять КидоКиллер, он снова что-то нашел, вроде уничтожил. Доступ на сайт снова есть.
Вот логи которые сделал после чего воспользовался КидоКиллером.
Отключите восстановление системы!!!
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [patches] 1 O9 - Extra button: (no name) - DctMapping - (no file)
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог mbamКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('f:\windows\system32\msvmcls64.exe'); TerminateProcessByName('f:\program files\common files\adobearms.exe'); DeleteFile('f:\program files\common files\adobearms.exe'); DeleteFile('f:\windows\system32\msvmcls64.exe'); DeleteFile('F:\WINDOWS\system32\22.scr'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Выполнил все, выкладываю новые логи.
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:F2 - REG:system.ini: UserInit=F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\d34b1731.exe,\\?\globalroot\systemroot\system32\g7jeqAN.exe,
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Просканируйте системные диски AVPTool. После сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\WINDOWS\system32\d34b1731.exe',''); QuarantineFile('F:\WINDOWS\system32\drivers\SnopFree.sys',''); QuarantineFile('\\?\globalroot\systemroot\system32\g7jeqAN.exe',''); QuarantineFile('F:\RECYCLER\S-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe',''); QuarantineFile('F:\WINDOWS\system32\mshost.exe',''); DeleteFile('F:\WINDOWS\system32\76.scr'); DeleteFile('F:\WINDOWS\system32\mshost.exe'); DeleteFile('F:\RECYCLER\S-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe'); DeleteFile('\\?\globalroot\systemroot\system32\g7jeqAN.exe'); DeleteFile('F:\WINDOWS\system32\drivers\Instmsi.exe'); DeleteFile('F:\WINDOWS\system32\d34b1731.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Обновления безопасности стоят на системе?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
+ к Павлу и DefesT
Сделайте такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Имеется в виду автоматические обновление Windows XP или что-то другое?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил все прописали выше, AVPTool нашел около 30 зараженных файлов. Я выбирал удаление или лечение в завимости от рекомендаций программы.
Загрузил карантин.
Выкладываю логи в том числе и ComboFix.
Автоматическое обновление отключено, на компьютере стоит Windows XP SP3.
Как установить заплатки безопасности?
Лог комбофикс делал после чего прошелся AVPTool.
Уважаемый(ая) DMTR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.