Тормозит комп и интернет

Printable View

06.02.2010, 22:32
KeeperDS

Тормозит комп и интернет

Здравствуйте!

Следующая проблема: с недавних пор стал сильно тормозить комп, был проверен AVPTool, CureIt и Нодом. Всякий раз кто-нибудь из них что-нибудь находил, удалял, но потом опять начинались тормоза и что-то находилось снова. В процессе проверок был найден и удалён файл secupdat.dat, который содержал трояна-спамбота. Но, после этого тормоза продолжились, главным образом, в интернете: медленно открываются странички, периодические скачки пинга. Провайдер божится, что все хорошо. Собственно, теперь надежда на вас:) Поможите люди добрые:), логи во вложении. Спасибо:)
06.02.2010, 22:44
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\System Volume Information\_restore{F7A3B6FF-162B-4ED5-9CFA-2DE44B29B05D}\RP510\A0596024.exe:exe.exe:$DATA','');
DeleteFile('C:\System Volume Information\_restore{F7A3B6FF-162B-4ED5-9CFA-2DE44B29B05D}\RP510\A0596024.exe:exe.exe:$DATA');
StopService('ing7yy6j3uy8r');
QuarantineFile('C:\WINDOWS\system32\fijodu.exe','');
DeleteService('ing7yy6j3uy8r');
DeleteFile('C:\WINDOWS\system32\fijodu.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.

+ Сделайте такой лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
07.02.2010, 03:12
KeeperDS

Вот лог Gmer'a, наконец-то доделался. что-то нашел. После запуска проги этой, почему-то svchost и wuaclt грузят проц на 100%, по 50% на процесс
07.02.2010, 03:49
KeeperDS

Логи по пунктам 2 и 3. Карантин сейчас вышлю
07.02.2010, 10:57
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
DeleteService('protect');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
07.02.2010, 14:30
KeeperDS

Скрипт выполнил.

Все время смущает вот эта фраза при эвристическом анализе:

7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "obvious"

В логах Gmer'a было упоминание об этом, посмотрите, пожалуйста.
07.02.2010, 14:55
polword

карантин выслали? по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
07.02.2010, 15:00
KeeperDS

Выслал
07.02.2010, 15:32
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\obvious.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
07.02.2010, 16:48
KeeperDS

Все сделал, как вы написали. при попытке отослать карантин выдает такое:

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

Edit: щас поглядел, пусто в архиве с карантином

Ребят, после выполнения двух предыдущих скриптов не сохраняется карантин, пусто в архиве
08.02.2010, 08:04
polword

C:\WINDOWS\system32\DRIVERS\obvious.sys - в карантин не попал попробуйте его пискать через авз - сервис- поиск файлов на диске ... если найдется запакуйте его с паролем virus и пришлите его по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
AddToLog('Удаление скрытого сервиса '+'obvious'+' - Результат:'+inttostr(BC_ServiceKill('obvious')) );
DeleteFile('C:\WINDOWS\system32\DRIVERS\obvious.sys');
BC_ImportAll;
ExecuteSysClean;
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Прикрепите также файл avz_log.txt из папки AVZ
08.02.2010, 19:53
KeeperDS

C:\WINDOWS\system32\DRIVERS\obvious.sys - не находится АВЗ.

Кстати, вчера заметил, что в процессах, после всего этого лечения, висит странный процесс под названием dllhost.exe, запускаемый системой. Не в курсе, что это??
08.02.2010, 20:01
KeeperDS

C:\WINDOWS\system32\DRIVERS\obvious.sys - ни АВЗ, ни Gmer не находят. обычным поиском находится только какой-то obvious.CAT

Логи во вложении.
08.02.2010, 22:12
polword

запакуйте obvious.CAT с паролем virus и пришлите его по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

в логах чисто.
Необходимо поставить:
- все обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Установить [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
09.02.2010, 22:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\_restore{f7a3b6ff-162b-4ed5-9cfa-2de44b29b05d}\rp510\a0596024.exe:exe.exe:$data - [B]Trojan.Win32.Crypt.bja[/B] ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Injector.DS, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Riern-AC [Trj] )[/LIST][/LIST]