Медленная работа компьютера

**asale** · 23.06.2010, 19:32

Добрый день.
Подскажите, компьютер очень медленно работает.

Что нужно сделать?
Помогите пжл

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 23.06.2010, 21:29

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('C:\WINDOWS\system32\moquoo.exe');
 TerminateProcessByName('c:\windows\system32\userini.exe');
 QuarantineFile('c:\windows\system32\hptcpman.dll','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\cift.exe','');
 DeleteService('aepb7arnkxoolik');
 DeleteService('oaiegyco53lbytn');
 QuarantineFile('C:\Documents and Settings\user\xsn.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\cift.exe,C:\Documents and Settings\user\Application Data\mrpky.exe,explorer.exe,C:\Documents and Settings\user\Application Data\kyrnmy.exe','');
QuarantineFile('C:\Documents and Settings\user\Application Data\mrpky.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\cecoohimid.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\kyrnmy.exe','');
 QuarantineFile('C:\WINDOWS\system32\hubouquovog.exe','');
 QuarantineFile('c:\windows\system32\userini.exe','');
 QuarantineFile('C:\WINDOWS\system32\moquoo.exe','');
 DeleteFile('C:\WINDOWS\system32\moquoo.exe');
 DeleteFile('c:\windows\system32\userini.exe');
 DeleteFile('C:\WINDOWS\system32\hubouquovog.exe');
 DeleteFile('C:\Documents and Settings\user\Application Data\kyrnmy.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\cecoohimid.exe');
 DeleteFile('C:\Documents and Settings\user\Application Data\cift.exe,C:\Documents and Settings\user\Application Data\mrpky.exe,explorer.exe,C:\Documents and Settings\user\Application Data\kyrnmy.exe');
DeleteFile('C:\Documents and Settings\user\Application Data\mrpky.exe');
DeleteFile('C:\Documents and Settings\user\xsn.exe');
DeleteFile('C:\Documents and Settings\user\Application Data\cift.exe');
 DeleteFile('c:\windows\system32\hptcpman.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','botty');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','botty');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','botty');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**asale** · 27.06.2010, 23:07

Сообщение от thyrex

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
 
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделал.
Что еще нужно?
Жду с нетерпением

**thyrex** · 28.06.2010, 00:57

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\pouja.exe','');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\pouja.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','sunnou');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','sunnou');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**asale** · 29.06.2010, 00:28

Сообщение от thyrex

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\pouja.exe','');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\pouja.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','sunnou');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','sunnou');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Выполнено, что еще можно сделать?

**thyrex** · 29.06.2010, 01:09

Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**asale** · 29.06.2010, 09:09

Сообщение от thyrex

Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

Сделал лог.

Жду с нетерпением дальнейших действий

**thyrex** · 29.06.2010, 20:28

Скачайте Avenger by Swandog46 и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта

Код:

Drivers to disable:

Drivers to delete:

Files to delete:
c:\documents and settings\user\secupdat.dat
c:\windows\system32\secupdat.dat

Folders to delete:
C:\FOUND.004
C:\FOUND.003
C:\FOUND.002
C:\FOUND.001
C:\FOUND.000

Registry values to delete:

Registry keys to delete:

Нажмите Execute и подтвердите, нажав Yes

Avenger автоматически выполнит следующее:
* Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
* При перезагрузке кратковременно появится черное окно, это нормально
* После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
* Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.

Прикрепите c:\avenger.txt к следующему сообщению.

**asale** · 29.06.2010, 23:57

Сообщение от thyrex

Скачайте Avenger by Swandog46 и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта

Прикрепите c:\avenger.txt к следующему сообщению.

Готово.
Посмотрите пжл, что сейчас

**thyrex** · 30.06.2010, 01:48

Что сейчас с проблемой?

**asale** · 30.06.2010, 06:21

Сообщение от thyrex

Что сейчас с проблемой?

Сейчас вроде значительно быстрее загружается.
Сейчас все ок по логам?

**thyrex** · 30.06.2010, 09:26

Удалите ComboFix

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Больше ничего необычного

Установите Adobe Acrobat 9.3 или удалите старый

**CyberHelper** · 01.07.2010, 09:26

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 24
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\localservice\application data\microsoft\cecoohimid.exe - Trojan-Dropper.Win32.Vidro.bnc ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
2. c:\documents and settings\localservice\application data\microsoft\pouja.exe - Trojan-Dropper.Win32.Vidro.bnc ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )

Медленная работа компьютера (заявка № 81664)

Опции темы