Прописался в автозагрузке, страшно тормозит систему, в интернет пока пускает. Помогите, пожалуйста.
Прописался в автозагрузке, страшно тормозит систему, в интернет пока пускает. Помогите, пожалуйста.
Отключите восстановление системы
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.Код:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\ea8c2f2e.exe,C:\WINDOWS\system32\cocygk.exe,
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\ea8c2f2e.exe',''); QuarantineFile('C:\WINDOWS\system32\cocygk.exe',''); QuarantineFile('C:\Documents and Settings\denbrough@helen\Главное меню\Программы\Автозагрузка\wwwznv32.exe',''); DeleteFile('C:\DOCUME~1\DENBRO~1\LOCALS~1\Temp\02Od1Ffp.sys'); DeleteFile('C:\Documents and Settings\denbrough@helen\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); DeleteFile('C:\WINDOWS\system32\cocygk.exe'); DeleteFile('C:\WINDOWS\system32\ea8c2f2e.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
все сделал, карантин выслал, новые логи прилагаю.
Пофиксите в Hijackthis:Закройте все программы, выполните скрипт в AVZ:Код:O4 - Startup: wwwznv32.exeПосле выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\denbrough@helen\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); BC_DeleteFile('C:\Documents and Settings\denbrough@helen\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Вот, все сделал. Только опять этот wwwznv32 в логе хайджека висит.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\Documents and Settings\denbrough@helen\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^denbrough@helen^Главное меню^Программы^Автозагрузка^wwwznv32.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
при попытке отправить файл quarantine.zip получаю сообщение:
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Остальные файлы прилагаю.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После комбофикса все стало нормально, процесс пропал из автозагрузки, компьютер ведет себя стабильно. Огромное спасибо!
Лог прилагаю. Nod32 был выключен, несмотря на то, что там написано.
Последний раз редактировалось denbrough; 19.07.2010 в 17:49.
Удалите ComboFix
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вирус побежден, спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\denbrough@helen\главное меню\программы\автозагрузка\wwwznv32.exe - Worm.Win32.Pinit.pt ( DrWEB: Trojan.MulDrop1.39607, AVAST4: Win32:Crypt-GWP [Drp] )
- c:\windows\system32\ea8c2f2e.exe - Backdoor.Win32.Shiz.li ( DrWEB: BackDoor.Siggen.25651, BitDefender: Backdoor.Generic.407254, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:Spyware-gen [Spy] )
Уважаемый(ая) denbrough, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.