Добрый день. Помогите пожалуйста . Комп долго начал загружаться, а после загрузаки постоянно передает и получает пакеты из нета и по сетке, даже когда там не работаешь.
вот логи
Спасибо заранее
Добрый день. Помогите пожалуйста . Комп долго начал загружаться, а после загрузаки постоянно передает и получает пакеты из нета и по сетке, даже когда там не работаешь.
вот логи
Спасибо заранее
Последний раз редактировалось Baz1228; 10.03.2011 в 16:20.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\aecq.sys',''); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\siozqvb1sn.exe',''); QuarantineFile('C:\WINDOWS\system32\o5kkabg81s.exe',''); QuarantineFile('C:\WINDOWS\system32\j86a81mx.exe',''); QuarantineFile('C:\WINDOWS\system32\hcc30zzqv.exe',''); QuarantineFile('C:\WINDOWS\system32\gelettegoo.exe',''); QuarantineFile('C:\WINDOWS\system32\cafe.exe',''); QuarantineFile('C:\WINDOWS\system32\c3ii30ffb.exe',''); QuarantineFile('C:\WINDOWS\system32\a6mm6yy6.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-6856099850-9319170093-110190557-0480\yv8g67.exe',''); QuarantineFile('C:\Documents and Settings\Bazilio\ctfmon.exe,C:\Documents and Settings\Bazilio\Application Data\dxlreu.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6856099850-9319170093-110190557-0480\yv8g67.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys',''); DeleteService('protect'); DeleteService('iyjkuaupgqulj'); QuarantineFile('C:\DOCUME~1\Bazilio\LOCALS~1\Temp\wczofbjzpzzi.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\DMusicq.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\aecq.sys',''); QuarantineFile('C:\WINDOWS\system32\tourazoh.exe',''); DeleteService('ism0dykyesfaabo8'); QuarantineFile('C:\WINDOWS\system32\ryvoque.exe',''); QuarantineFile('C:\WINDOWS\system32\bazoog.exe',''); DeleteService('donyzjvm2a47hp'); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\WINDOWS\system32\rykonoofu.exe',''); DeleteFile('C:\WINDOWS\system32\rykonoofu.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteFile('C:\WINDOWS\system32\bazoog.exe'); DeleteFile('C:\WINDOWS\system32\ryvoque.exe'); DeleteFile('C:\WINDOWS\system32\tourazoh.exe'); DeleteFile('C:\DOCUME~1\Bazilio\LOCALS~1\Temp\wczofbjzpzzi.sys'); DeleteFile('C:\WINDOWS\system32\drivers\protect.sys'); DeleteFile('C:\Documents and Settings\Bazilio\ctfmon.exe,C:\Documents and Settings\Bazilio\Application Data\dxlreu.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6856099850-9319170093-110190557-0480\yv8g67.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-6856099850-9319170093-110190557-0480\yv8g67.exe'); DeleteFile('C:\WINDOWS\system32\a6mm6yy6.exe'); DeleteFile('C:\WINDOWS\system32\c3ii30ffb.exe'); DeleteFile('C:\WINDOWS\system32\cafe.exe'); DeleteFile('C:\WINDOWS\system32\gelettegoo.exe'); DeleteFile('C:\WINDOWS\system32\hcc30zzqv.exe'); DeleteFile('C:\WINDOWS\system32\j86a81mx.exe'); DeleteFile('C:\WINDOWS\system32\o5kkabg81s.exe'); DeleteFile('C:\WINDOWS\system32\mrhn66e3a1.exe'); DeleteFile('C:\WINDOWS\system32\siozqvb1sn.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('c:\windows\system32\rykonoofu.exe'); DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\061.exe'); DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\583.exe'); DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\825.exe'); DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temporary Internet Files\Content.IE5\8X23E5C7\cemjkmn[1].exe'); DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temporary Internet Files\Content.IE5\8X23E5C7\dcwjm1[1].exe'); DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temporary Internet Files\Content.IE5\CDYROXAB\vgewfewfew[1].exe'); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\Documents and Settings\Bazilio\ctfmon.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\Drivers\aecq.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
все сделал, вот логи
Последний раз редактировалось Baz1228; 10.03.2011 в 16:20.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\9708gr5.exe'); DeleteFile('C:\WINDOWS\system32\qqlccxooja.exe'); DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\151.exe'); DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\480.exe'); DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temporary Internet Files\Content.IE5\PEFY8FPQ\dwqfwe[1].exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
вот логи
Последний раз редактировалось Baz1228; 10.03.2011 в 16:20.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\explorer.exe:userini.exe'); QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA',''); QuarantineFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\530.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('c:\windows\explorer.exe:userini.exe',''); DeleteFile('c:\windows\explorer.exe:userini.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteFile('C:\Documents and Settings\Bazilio\Local Settings\Temp\530.exe'); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(6); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все сделал, вот логи
Последний раз редактировалось Baz1228; 10.03.2011 в 16:20.
c:\windows\system32\grpconv.exe восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\coufoujicib.exe C:\WINDOWS\explorer.exe:userini.exe:$DATA c:\windows\temp\wpv831273913048.exe Driver:: Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8987:TCP"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все сделал, вот
Последний раз редактировалось Baz1228; 10.03.2011 в 16:20.
Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проблема вроде решена! Большое спасибо. Но грузится все равно долговато
c:\program files\WebMoney Advisor и его записи в реестре восстановите так или переустановите
Удалите ComboFix
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Короче после всего этого, при загрузке выскакивает окно "Приложение csrcx.exe нельзя запустить в режиме Win32". и что делать?
вот новые логи
Последний раз редактировалось Baz1228; 10.03.2011 в 16:20.
И где Вы их успеваете подцеплять. Даже ComboFix не успели удалить
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\System Volume Information\_restore{D40BDB1B-E208-4CFB-9D1B-521DB2AC9AE5}\RP1\A0000018.exe:userini.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); DeleteFile('C:\System Volume Information\_restore{D40BDB1B-E208-4CFB-9D1B-521DB2AC9AE5}\RP1\A0000018.exe:userini.exe:$DATA'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Последний раз редактировалось thyrex; 17.05.2010 в 20:08.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все сделал
вот логи
Последний раз редактировалось Baz1228; 10.03.2011 в 16:20.
что с проблемами ?
все работает нормально . Большое спасибо!
Рано убегаете
Внимание: возможно после выполнения скрипта возникнут проблемы со звуком и драйвера придется переустановить
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('drmkaudr', 4); DeleteService('drmkaudr'); SetServiceStart('DMusicq', 4); DeleteService('DMusicq'); DeleteFile('C:\WINDOWS\System32\DRIVERS\drmkaudr.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\DMusicq.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 81
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\bazilio\ctfmon.exe - P2P-Worm.Win32.Palevo.ahxh ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Rimecud.2, AVAST4: Win32:Malware-gen )
- c:\documents and settings\bazilio\local settings\temporary internet files\content.ie5\cdyroxab\vgewfewfew[1].exe - Trojan.Win32.Ddox.jq ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
- c:\documents and settings\bazilio\local settings\temporary internet files\content.ie5\pefy8fpq\dwqfwe[1].exe - Trojan.Win32.Ddox.jp ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )
- c:\documents and settings\bazilio\local settings\temporary internet files\content.ie5\8x23e5c7\cemjkmn[1].exe - Trojan.Win32.Ddox.jx ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )
- c:\documents and settings\bazilio\local settings\temporary internet files\content.ie5\8x23e5c7\dcwjm1[1].exe - Trojan.Win32.Ddox.jr ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )
- c:\documents and settings\bazilio\local settings\temp\061.exe - Trojan.Win32.Ddox.jx ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )
- c:\documents and settings\bazilio\local settings\temp\151.exe - Trojan.Win32.Ddox.jq ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
- c:\documents and settings\bazilio\local settings\temp\480.exe - Trojan.Win32.Ddox.jp ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )
- c:\documents and settings\bazilio\local settings\temp\530.exe - Trojan.Win32.Ddox.jp ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )
- c:\documents and settings\bazilio\local settings\temp\583.exe - Trojan.Win32.Ddox.jq ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
- c:\documents and settings\bazilio\local settings\temp\825.exe - Trojan.Win32.Ddox.jr ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-6856099850-9319170093-110190557-0480\yv8g67.exe - P2P-Worm.Win32.Palevo.ahix ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.3933810, NOD32: Win32/Peerfrag.FL worm, AVAST4: Win32:Malware-gen )
- c:\system volume information\_restore{d40bdb1b-e208-4cfb-9d1b-521db2ac9ae5}\rp1\a0000018.exe:userini.exe:$data - Packed.Win32.Katusha.a ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BR, AVAST4: Win32:Bredolab-DG [Trj] )
- c:\windows\explorer.exe:userini.exe - Email-Worm.Win32.Joleee.euk ( DrWEB: Trojan.Spambot.6788, BitDefender: DeepScan:Generic.Malware.SFMdld.04963DCE, AVAST4: Win32:Trojan-gen )
- c:\windows\explorer.exe:userini.exe:$data - Backdoor.Win32.Bredolab.ehc ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DG [Trj] )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.euk ( DrWEB: Trojan.Spambot.6788, BitDefender: DeepScan:Generic.Malware.SFMdld.04963DCE, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\a6mm6yy6.exe - Trojan.Win32.Ddox.jw ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )
- c:\windows\system32\bazoog.exe - Trojan-Dropper.Win32.Vidro.aah ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\windows\system32\drivers\aecq.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\dmusicq.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\j86a81mx.exe - Trojan.Win32.Ddox.jr ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )
- c:\windows\system32\mrhn66e3a1.exe - Trojan.Win32.Ddox.jx ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Lethic.A, AVAST4: Win32:Malware-gen )
- c:\windows\system32\rykonoofu.exe - Trojan-Dropper.Win32.Vidro.aah ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\windows\system32\ryvoque.exe - Trojan-Dropper.Win32.Vidro.aah ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\windows\system32\tourazoh.exe - Trojan-Dropper.Win32.Vidro.aah ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\windows\system32\userini.exe - Backdoor.Win32.Bredolab.ehc ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DG [Trj] )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.euk ( DrWEB: Trojan.Spambot.6788, BitDefender: DeepScan:Generic.Malware.SFMdld.04963DCE, AVAST4: Win32:Trojan-gen )
- \quarantine\2010-05-17.rar - Email-Worm.Win32.Joleee.euk ( DrWEB: archive: Trojan.Spambot.6788, BitDefender: DeepScan:Generic.Malware.SFMdld.04963DCE )
Уважаемый(ая) Baz1228, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.