Trojan.Carber.10; Trojan.hosts.4960; Быстродействие компьтера 99%

Доброго времени суток стал замечать что компьютер стал зависать открываю диспетчер задач там процесс svchost.exe (имя пользователя администратор) загружал систему до 80-100% стоит его убить все работает нормально, но через секунд он снова появляется в диспетчере. а пункт Быстродействие компьютера нагрузка до 99% Заметил это после того как попытался скачать фаил с музыкой, при нажатие кнопки скачать. появилась командная строка [B]cmd[/B] я подумал как бы не винлок, и быстренько диспетчер, но строка к тому времени пропала и снять процесс не удалось.


Затем заметил появление странных папок в корне диска С. Название папки состоит из набора букв и цифр в папке всего 1 фаил с именем --> klpclst.dat, и еще1 расширением .inf в другой папке.

В папке -> C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Z6UGuD7Szow.exe Находится данный фаил, при попытке его удалить пишет что данный фаил занят другим процессом, при попытке снять процесс через утилиту -> [B]Unlocker[/B], стоит снять процесс фаил исчезает, через несколько секунд он снова в этой папке.

В ходе сканировании - [B] Dr.Web CureIt! [/B] были обнаружены: Trojan.muldop3.12949, Trojan.Carber.10; Trojan.hosts.500 Trojan.hosts.4960;<-(был перемешен, а находился в папке где лежит обычный фаил Хоста ) и в карантине моего антивируса удалил 2 винлока Trojan.winlok.3784

Последнее в Браузере Google Chrome. При попытке открыть страницу, выдавал ошибку что превышен режим ожидания и просит зарыть или подождать, и так на любые сайты. Почти, Иногда только открывает.

P.S :O При печати Вам сообщения в правом углу в самом низу сообщения появляется маленькое окошечко желтого цвета с текстом [B]Auto-saved[/B] так должно быть?

Недавно(примерно1 мес.) был пойман Rootkit.Win32.Cidox.а (вроде так назввался) был удален с помощью Live CD и запушенной утилитой TDSSKiller от от лаборатории Касперского.

Извини если много текста старался описать все подробно,

Уважаемый(ая) [B]DreamFire[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!!!

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Z6UGuD7Szow.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Z6UGuD7Szow.exe');
QuarantineFile('C:\WINDOWS\system32\DBD.tmp','');
DeleteFile('C:\WINDOWS\system32\DBD.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MEMSWEEP2');
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи.

Какие проблемы остались?

Еще раз добрый вечер

Файл quarantine.zip из папки AVZ уже был создан при в ходе выполнения скриптов, не заменят ли они друг друга.
\Z6UGuD7Szow.exe он не всегда в этой папке, он появляется и исчезает.

[b]DreamFire[/b], выполняйте сообщение 3:)

При выполнение пункта 2 "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Сработал антивирус при это все службы были выгружены. и что удалил....
вот новые логи.

Дополнение: при выполнение 1 пунка выдал это сообщениее в самом низу. !!! Внимание !!! Восстановлено 11 функций KiST в ходе работы антируткита

Много лишней информации, а той которая нужна - нет:)
[quote="Techno;847212"]Какие проблемы остались?[/quote]

Вроде все нормально, все работает, можно будет попросить скрипт на удаление

C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray
Его видно только пр выполнение команды mscofig меню автозагрузка. файлы которые были связаны от вируса были удалены


Как там мой фаил карантина ? если там файла нету. то я успел его поймать и упаковать в архив... при быстпрой выгрузки из трея

Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]новый Internet Explorer[/URL], а также все доступные [URL="http://www.update.microsoft.com/"]обновления для Windows[/URL]

После этого [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

[b]Techno[/b], У сожалению смогу это сделать только Утром. сделаю логи, буду ждать вашего ответа.
P.S. обновления и новый IE установить до логов ?
Спасибо !!!

[quote="DreamFire;847238"]P.S. обновления и новый IE установить до логов ?[/quote]
Да.

[quote="DreamFire;847238"]Techno, У сожалению смогу это сделать только Утром. сделаю логи, буду ждать вашего ответа.[/quote]
Я тоже уже спать собирался)))

[b]Techno[/b], Добрый вечер обновления которые мне предложили на сайте, предназначены для программ:
Win Outlook 2003,
Win Access 2003,
Outlook Express и
Windows Movie Maker
Этими программами не пользуюсь.

при сканирование логов пришлось воспользоваться скайпой это могло отразиться на сканирование ?
На Диске С-2 объекта, D-2 объекта,

Он выдал список объектов. но блокнот не открылся, а в папке логов пусто ни чего нет:(

Сохранил его вручную сохранить отчет как *****

[quote="DreamFire;847484"]Этими программами не пользуюсь.[/quote]
Все равно установите.

[quote="DreamFire;847484"]Он выдал список объектов. но блокнот не открылся, а в папке логов пусто ни чего нет[/quote]
Смотрите внимательнее, если не найдете давайте хоть фотку)))

Фото по вашей просьбе

P.S посмотрите сообщение выше лог из программы

[URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL] всё [B]кроме[/B]:
[CODE]c:\program files\total commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.
d:\program\sacred 2 - fallen angel\system\dsr.exe (Trojan.KillAV) -> No action taken.
d:\program\sacred 2 - fallen angel\system\s2.exe (Malware.Packer.Gen) -> No action taken.[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

Сообщите, что с проблемами.

[quote="DreamFire;847234"]Как там мой фаил карантина ? если там файла нету. то я успел его поймать и упаковать в архив... при быстпрой выгрузки из трея[/quote]
там пусто, запакуйте в zip архив с паролем [COLOR="#FF0000"]virus[/COLOR] и пришлите. В будущем на время выполнения скриптов отключайте антивирус.

[b]Techno[/b], Боязно удалять, поьом я их завускать смогу ?
cmd.exe
msconfig.exe
regedit.exe
regedit32.exe

[quote="DreamFire;847527"]cmd.exe
msconfig.exe
regedit.exe
regedit32.exe[/quote]
Вы не файлы удалите, а записи в реестре.

[b]Techno[/b], Файл на карантин прикрепил вместе с файлом desktop.ini побоялся открывать папку. запоковал вместе.
Строчки что сказали удалил. компьтер потребовал перезагрузку.
C:\Documents and Settings\Admin\Local Settings\Temp В этой папке которую иногда очишаю обнаружил 2 таких лога.
sarscan.log ---- Sophos Anti-Rootkit Version 1.5.20
uxeventlog.txt ---- в заголовке указан он Watson UX Data Logging started