Жуткие тормоза+куча вирусов

**ЦМХГ** · 12.05.2010, 12:10

Компьютер общественный, и как результат на данный момент куча мусора на винте да букет вирусов в придачу. Отформатировать нельзя есть много рабочей информации. Стоит фаервол и какой-никакой антивирус но не помогли.((
Пожалуйста помогите вылечится

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 12.05.2010, 12:26

Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- восстановление системы;
- выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\xzzoip.exe');
 TerminateProcessByName('c:\program files\microsoft office\svchost.exe');
 TerminateProcessByName('c:\windows\system32\xm9twc3fm8\j002.exe');
 TerminateProcessByName('c:\windows\system32\xm9twc3fm8\f001.exe');
 TerminateProcessByName('c:\windows\system32\xm9twc3fm8\eoo1.exe');
 TerminateProcessByName('c:\windows\system32\diptsclib.exe');
 TerminateProcessByName('c:\windows\cidrive32.exe');
 TerminateProcessByName('c:\windows\system32\xm9twc3fm8\b7878.exe');
 TerminateProcessByName('c:\windows\temp\7e7c104c.tmp');
 TerminateProcessByName('c:\windows\temp\67f70763.tmp');
 TerminateProcessByName('c:\windows\temp\59ec1d62.tmp');
 TerminateProcessByName('c:\windows\temp\521b57b1.tmp');
 TerminateProcessByName('c:\windows\temp\4e3a4355.tmp');
 TerminateProcessByName('c:\windows\temp\4a4a1200.tmp');
 TerminateProcessByName('c:\windows\temp\466a7da4.tmp');
 TerminateProcessByName('c:\windows\temp\3cb64c14.tmp');
 TerminateProcessByName('c:\windows\temp\34e50663.tmp');
 TerminateProcessByName('c:\windows\temp\2dae7cf0.tmp');
 TerminateProcessByName('c:\windows\temp\2d8b64c7.tmp');
 TerminateProcessByName('c:\windows\temp\25ba1f16.tmp');
 TerminateProcessByName('c:\docume~1\a7e4~1.mic\locals~1\temp\208.exe');
 TerminateProcessByName('c:\windows\temp\205e25f7.tmp');
 TerminateProcessByName('c:\windows\system32\187109.exe');
 SetServiceStart('37C4756F', 4);
 SetServiceStart('Wihkep32', 4);
 SetServiceStart('vsrfr', 4);
 SetServiceStart('Udhe', 4);
 SetServiceStart('Index', 4);
 SetServiceStart('MediaCumdkp', 4);
 SetServiceStart('Storm DDOS Service', 4);
 SetServiceStart('bd', 4);
 StopService('37C4756F');
 StopService('xzzoip');
 StopService('Wihkep32');
 StopService('vsrfr');
 StopService('Udhe');
 StopService('Index');
 StopService('MediaCumdkp');
 StopService('Storm DDOS Service');
 StopService('bd');
 QuarantineFile('C:\WINDOWS\ctfmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
 QuarantineFile('C:\WINDOWS\system32\diptsvstart.dll','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-3308367247-3611362674-787024376-8655\syscr.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\37C4756F.sys','');
 QuarantineFile('C:\WINDOWS\system32\Wiyselp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\Wihke32.exe','');
 QuarantineFile('C:\WINDOWS\system32\Antidegmq.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\60151468.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\80111500.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\CBGame.dll','');
 QuarantineFile('c:\windows\system32\xzzoip.exe','');
 QuarantineFile('c:\program files\microsoft office\svchost.exe','');
 QuarantineFile('c:\windows\system32\xm9twc3fm8\j002.exe','');
 QuarantineFile('c:\windows\system32\xm9twc3fm8\f001.exe','');
 QuarantineFile('c:\windows\system32\xm9twc3fm8\eoo1.exe','');
 QuarantineFile('c:\windows\cidrive32.exe','');
 QuarantineFile('c:\windows\system32\xm9twc3fm8\b7878.exe','');
 QuarantineFile('c:\windows\temp\7e7c104c.tmp','');
 QuarantineFile('c:\windows\temp\67f70763.tmp','');
 QuarantineFile('c:\windows\temp\59ec1d62.tmp','');
 QuarantineFile('c:\windows\temp\521b57b1.tmp','');
 QuarantineFile('c:\windows\temp\4e3a4355.tmp','');
 QuarantineFile('c:\windows\temp\4a4a1200.tmp','');
 QuarantineFile('c:\windows\temp\466a7da4.tmp','');
 QuarantineFile('c:\windows\temp\3cb64c14.tmp','');
 QuarantineFile('c:\windows\temp\34e50663.tmp','');
 QuarantineFile('c:\windows\temp\2dae7cf0.tmp','');
 QuarantineFile('c:\windows\temp\2d8b64c7.tmp','');
 QuarantineFile('c:\windows\temp\25ba1f16.tmp','');
 QuarantineFile('c:\docume~1\a7e4~1.mic\locals~1\temp\208.exe','');
 QuarantineFile('c:\windows\temp\205e25f7.tmp','');
 QuarantineFile('c:\windows\system32\187109.exe','');
 DeleteFile('c:\windows\temp\205e25f7.tmp');
 DeleteFile('c:\docume~1\a7e4~1.mic\locals~1\temp\208.exe');
 DeleteFile('c:\windows\temp\3cb64c14.tmp');
 DeleteFile('c:\windows\temp\4a4a1200.tmp');
 DeleteFile('c:\windows\system32\diptsclib.exe');
 DeleteFile('c:\program files\microsoft office\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\XM9TWC3FM8\B7878.exe');
 DeleteFile('C:\WINDOWS\system32\XM9TWC3FM8\eoo1.exe');
 DeleteFile('C:\WINDOWS\system32\XM9TWC3FM8\F001.exe');
 DeleteFile('C:\WINDOWS\system32\XM9TWC3FM8\J002.exe');
 DeleteFile('C:\WINDOWS\TEMP\CBGame.dll');
 DeleteFile('C:\WINDOWS\TEMP\80111500.dll');
 DeleteFile('C:\WINDOWS\TEMP\7e7c104c.tmp');
 DeleteFile('C:\WINDOWS\TEMP\67f70763.tmp');
 DeleteFile('C:\WINDOWS\TEMP\60151468.dll');
 DeleteFile('C:\WINDOWS\TEMP\59ec1d62.tmp');
 DeleteFile('C:\WINDOWS\TEMP\521b57b1.tmp');
 DeleteFile('C:\WINDOWS\TEMP\4e3a4355.tmp');
 DeleteFile('C:\WINDOWS\TEMP\466a7da4.tmp');
 DeleteFile('C:\WINDOWS\TEMP\34e50663.tmp');
 DeleteFile('C:\WINDOWS\TEMP\2dae7cf0.tmp');
 DeleteFile('C:\WINDOWS\TEMP\2d8b64c7.tmp');
 DeleteFile('C:\WINDOWS\TEMP\25ba1f16.tmp');
 DeleteFile('C:\WINDOWS\system32\xzzoip.exe');
 DeleteFile('C:\WINDOWS\system32\187109.exe');
 DeleteFile('C:\WINDOWS\system32\Antidegmq.exe');
 DeleteFile('C:\WINDOWS\system32\Wihke32.exe');
 DeleteFile('C:\WINDOWS\system32\Wiyselp32.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\37C4756F.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-3308367247-3611362674-787024376-8655\syscr.exe');
 DeleteFile('C:\WINDOWS\cidrive32.exe');
 DeleteFile('C:\WINDOWS\system32\diptsvstart.dll');
 DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
 DeleteFile('C:\WINDOWS\ctfmon.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\DipSrv\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E06E2E99-0AA1-11D4-ABA6-0060082AA75C}');
 DeleteService('37C4756F');
 DeleteService('Wiyselp32');
 DeleteService('xzzoip');
 DeleteService('Wihkep32');
 DeleteService('vsrfr');
 DeleteService('Udhe');
 DeleteService('Index');
 DeleteService('MediaCumdkp');
 DeleteService('Storm DDOS Service');
 DeleteService('bd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 Executerepair(11);
 Executerepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

**ЦМХГ** · 14.05.2010, 10:53

Большое спасибо все сделал

Результат загрузки
Файл сохранён как 100514_105112_virus_4becf2e08ca90.zip
Размер файла 2631868
MD5 99465592299ffced4f20c7e4f5a2e2c7
Файл закачан, спасибо!

вот логи

**ЦМХГ** · 14.05.2010, 11:02

Да кстати почему-то появился в раскладке клавиатуры китайский язык который отключить не удается((

**DefesT** · 14.05.2010, 12:37

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\ctfmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\appmgmt.dll','');
 QuarantineFile('C:\Program Files\Microsoft Office\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\6to4.dll','');
 QuarantineFile('C:\WINDOWS\tinlater.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\3FA67E62.sys','');
 QuarantineFile('C:\WINDOWS\system32\MSImg32.dll','');
 QuarantineFile('C:\WINDOWS\system32\xzzoip.exe','');
 DelCLSID('LMS03AB-B707-11d2-9CBD-0000F87A369E');
 DeleteFile('C:\WINDOWS\system32\6to4.dll');
 DeleteFile('C:\Program Files\Microsoft Office\svchost.exe');
 DeleteFile('C:\WINDOWS\ctfmon.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1MGGW48I\App[1].zip');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1MGGW48I\App[2].zip');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1MGGW48I\App[3].zip');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ORFIKYXH\App[1].zip');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\R28JQX5Z\App[1].zip');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\R28JQX5Z\App[2].zip');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\U50XR1Y3\App[1].zip');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\U50XR1Y3\App[2].zip');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

**ЦМХГ** · 15.05.2010, 10:10

Результат загрузки
Файл сохранён как 100515_100851_virus_4bee3a737fa99.zip
Размер файла 586816
MD5 a58bdfe5dda33b123091d40ca2225577
Файл закачан, спасибо!

**DefesT** · 16.05.2010, 12:43

Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Ms-tl_Srv');
 DeleteService('xzzoip');
 DeleteFile('C:\WINDOWS\system32\MSImg32.dll');
 DeleteFile('C:\WINDOWS\tinlater.exe');
 DeleteFile('C:\WINDOWS\system32\appmgmt.dll');
 DeleteFile('C:\WINDOWS\ctfmon.exe');
 DeleteFile('C:\WINDOWS\system32\xzzoip.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

**CyberHelper** · 17.05.2010, 12:43

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 114
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\r28jqx5z\app[2].zip - Net-Worm.Win32.Kolab.iim ( BitDefender: Trojan.Generic.KD.11201, AVAST4: Win32:Siveras-B [Expl] )
2. c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\1mggw48i\app[1].zip - Net-Worm.Win32.Kolab.iim ( BitDefender: Trojan.Generic.KD.11201, AVAST4: Win32:Siveras-B [Expl] )
3. c:\documents and settings\администратор.microsof-81d400\local settings\temp\121156.exe - Trojan.Win32.Agent.eave ( BitDefender: Gen:Trojan.Heur.GZ.bm0@b4fe!djb )
4. c:\documents and settings\администратор.microsof-81d400\local settings\temp\187109.exe - Trojan-DDoS.Win32.Agent.iz ( DrWEB: DDoS.Storm.19, BitDefender: Trojan.Daromst.A, NOD32: Win32/TrojanDownloader.Agent.OQT trojan, AVAST4: Win32:Trojan-gen )
5. c:\documents and settings\администратор.microsof-81d400\local settings\temp\2022468.exe - Trojan-DDoS.Win32.Agent.iz ( DrWEB: DDoS.Storm.19, BitDefender: Trojan.Daromst.A, NOD32: Win32/TrojanDownloader.Agent.OQT trojan, AVAST4: Win32:Trojan-gen )
6. c:\docume~1\a7e4~1.mic\locals~1\temp\208.exe - Email-Flooder.Win32.Agent.cu ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Spammer.ACB, AVAST4: Win32:Malware-gen )
7. c:\program files\microsoft office\svchost.exe - Trojan.Win32.Swisyn.afem ( AVAST4: Win32:Malware-gen )
8. c:\recycler\s-1-5-21-3308367247-3611362674-787024376-8655\syscr.exe - P2P-Worm.Win32.Palevo.aepj ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.239673, AVAST4: Win32:Malware-gen )
9. c:\windows\cidrive32.exe - Backdoor.Win32.IRCBot.pby ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.KillAV.RZ, AVAST4: Win32:Malware-gen )
10. c:\windows\system32\appmgmt.dll - Trojan-Downloader.Win32.Agent.dqhi ( DrWEB: Win32.HLLW.Autoruner.20845, BitDefender: Worm.Generic.243659, AVAST4: Win32:Malware-gen )
11. c:\windows\system32\diptsvstart.dll - Trojan-Downloader.Win32.Agent.dqbs ( AVAST4: Win32:Malware-gen )
12. c:\windows\system32\drivers\37c4756f.sys - Rootkit.Win32.Agent.bfyj
13. c:\windows\system32\msimg32.dll - Trojan-GameThief.Win32.OnLineGames.bnix ( DrWEB: Trojan.PWS.Wsgame.20551 )
14. c:\windows\system32\msimg32.dll - Trojan-GameThief.Win32.OnLineGames.wszt ( AVAST4: Win32:OnLineGames-FRW [Trj] )
15. c:\windows\system32\msvmcls64.exe - Email-Flooder.Win32.Agent.cu ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Spammer.ACB, AVAST4: Win32:Malware-gen )
16. c:\windows\system32\wiyselp32.exe - Backdoor.Win32.Agent.auve ( DrWEB: BackDoor.Darkshell.96, AVAST4: Win32:Agent-AERY [Trj] )
17. c:\windows\system32\xm9twc3fm8\b7878.exe - Trojan.Win32.Scar.ceis ( DrWEB: Trojan.DownLoad.64038, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rootkit-gen [Rtk] )
18. c:\windows\system32\xm9twc3fm8\j002.exe - Trojan.Win32.Scar.cfdd ( DrWEB: Trojan.Siggen1.29334, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rootkit-gen [Rtk] )
19. c:\windows\system32\xzzoip.exe - Backdoor.Win32.Hupigon.kwnp ( DrWEB: Trojan.Siggen1.11135, BitDefender: Rootkit.35843, AVAST4: Win32:Rootkit-gen [Rtk] )
20. c:\windows\system32\187109.exe - Trojan-DDoS.Win32.Agent.iz ( DrWEB: DDoS.Storm.19, BitDefender: Trojan.Daromst.A, NOD32: Win32/TrojanDownloader.Agent.OQT trojan, AVAST4: Win32:Trojan-gen )
21. c:\windows\temp\170105125.dll - Trojan-GameThief.Win32.Magania.dfjq ( BitDefender: Trojan.Generic.3876617, AVAST4: Win32:Lolyda-B [Trj] )
22. c:\windows\temp\3cb64c14.tmp - Trojan-GameThief.Win32.WOW.ipc ( DrWEB: archive: Trojan.Packed.191, BitDefender: Trojan.Generic.3874557, AVAST4: Win32:Lolyda-D [Trj] )
23. c:\windows\temp\60151468.dll - Trojan-GameThief.Win32.Magania.depi ( DrWEB: Trojan.PWS.Wsgame.19323, BitDefender: Trojan.Generic.3837236, AVAST4: Win32:Lolyda-C [Trj] )

Жуткие тормоза+куча вирусов (заявка № 78163)

Опции темы

Жуткие тормоза+куча вирусов

Итог лечения

Похожие темы

Жуткие тормоза

Жуткие тормоза

Жуткие тормоза!

Жуткие тормоза....

Жуткие тормоза

Ваши права в разделе