Здравствуйте. Страшно тормозит интернет, на диске С постоянно восстанавливается файл xdx, кроме того в папке system32 появляются подозрительные объекты.
xdx.exe мешает работе internet explorer'a
Здравствуйте. Страшно тормозит интернет, на диске С постоянно восстанавливается файл xdx, кроме того в папке system32 появляются подозрительные объекты.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:procedure WhatService(AServiceName : string); var dllname, servicekey : string; begin servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName; RegKeyResetSecurity( 'HKLM', servicekey); RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters'); AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description')); AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName')); AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath')); dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll'); AddToLog('ServiceDll: '+dllname); QuarantineFile(dllname,''); end; begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\ggdrive32.exe'); QuarantineFile('C:\WINDOWS\system32\x',''); QuarantineFile('C:\RECYCLER\S-1-5-21-8169296727-0993728699-057716359-7739\syscr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2042770375-4116900550-764899795-9618\syscr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-4220561970-5376557010-845583348-2247\syscr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1563281817-9816936920-539358370-2915\syscr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-8145584487-9387178318-299676947-6034\syscr.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\WINDOWS\system32\twext.exe',''); QuarantineFile('C:\WINDOWS\system32\portmap.exe',''); QuarantineFile('C:\Documents and Settings\Женя\Application Data\ltzqai.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew2.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe',''); QuarantineFile('C:\Program Files\plugin.exe',''); QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe',''); QuarantineFile('C:\Documents and Settings\Женя\Local Settings\Temporary Internet Files\Content.IE5\WVW5GR8Z\felix-light[1].exe',''); QuarantineFile('C:\DOCUME~1\96EC~1\LOCALS~1\Temp\idemoddp0deaka.exe',''); QuarantineFile('c:\windows\ggdrive32.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-8169296727-0993728699-057716359-7739\syscr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-2042770375-4116900550-764899795-9618\syscr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-4220561970-5376557010-845583348-2247\syscr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1563281817-9816936920-539358370-2915\syscr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-8145584487-9387178318-299676947-6034\syscr.exe'); DeleteFile('C:\Documents and Settings\Женя\Application Data\ltzqai.exe'); DeleteFile('c:\windows\ggdrive32.exe'); DeleteFile('C:\DOCUME~1\96EC~1\LOCALS~1\Temp\idemoddp0deaka.exe'); DeleteFile('C:\Documents and Settings\Женя\Local Settings\Temporary Internet Files\Content.IE5\WVW5GR8Z\felix-light[1].exe'); DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe'); DeleteFile('C:\Program Files\plugin.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew2.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\WINDOWS\system32\portmap.exe'); DeleteFile('C:\WINDOWS\system32\twext.exe'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFileMask('C:\Program Files\pchd','*.*', true); DeleteDirectory('C:\Program Files\pchd'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Felix'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tjii321'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tjpp2'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo3'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew2'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psuu4'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','puda4'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall Security Service'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); ExecuteRepair(8); ExecuteWizard('TSW',2,3,true); WhatService('qiaknxla'); WhatService('rmsnnjn'); SaveLog(GetAVZDirectory+'avz.log'); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Обязательно обновите базы AVZ.
Сделайте повторные логи.
Приложите файл avz.log из папки AVZ к следующему сообщению.
- Сделайте лог полного сканирования МВАМ
Последний раз редактировалось olejah; 22.02.2011 в 20:53.
Сделал:
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Удалите в МВАМ все найденное и предоставьте повторный лог
Также сделайте новые логи AVZ и HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи:
Систему обновите, иначе самоходный червь снова проползет
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\zschgy.dll',''); DeleteFile('C:\WINDOWS\system32\zschgy.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи
Последний раз редактировалось EugenCorsh; 26.02.2011 в 17:27.
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Кажется, да. Большое спасибо за помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 49
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Trojan.Win32.Menti.bbm ( DrWEB: Trojan.DownLoader2.7745, BitDefender: Trojan.Generic.KDV.414916, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\windows\\ggdrive32.exe - Net-Worm.Win32.Kolab.ufn ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.5538472, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\windows\\system32\\x - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.Z worm, AVAST4: Win32:Confi [Wrm] )
Уважаемый(ая) EugenCorsh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
