Комп виснет почти сразу после включения

Printable View

13.04.2010, 19:53
vanvan

Вложений: 3

Комп виснет почти сразу после включения

Удалил из системы syrv32.exe и umdmg.exe. После подключения к инету они вернулись обратно. Установлен НОД32. Не помог.
PS Подключаюсь через 3-G модем
13.04.2010, 20:22
vanvan

Уточню. При подключении модема НОД ловит и удаляет на нем Autorun.inf (каждую минуту). Если подключится к инету начинает блокировать запросы на разные урл
13.04.2010, 20:34
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ctsrv.exe');
TerminateProcessByName('c:\windows\system32\qfqf4xpi4c\d001.exe');
SetServiceStart('NetActive', 4);
SetServiceStart('DescriptionHero2', 4);
QuarantineFile('C:\WINDOWS\system32\47.scr','');
QuarantineFile('C:\Program Files\Microsoft Office\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1474232053-3548892259-697200048-8402\wmfcgr.exe,explorer.exe,C:\WINDOWS\system32\moniter.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1474232053-3548892259-697200048-8402\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\WINDOWS\system32\Witingsp32.exe','');
QuarantineFile('C:\WINDOWS\system32\WiSwite2.exe','');
QuarantineFile('C:\WINDOWS\system32\QT9Y289L2I\eoo1.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
QuarantineFile('C:\WINDOWS\TEMP\BClib\krnln.fne','');
QuarantineFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne','');
QuarantineFile('C:\WINDOWS\TEMP\BClib\dp1.fne','');
QuarantineFile('c:\windows\system32\asitsvstart.dll','');
QuarantineFile('c:\windows\system32\qfqf4xpi4c\d001.exe','');
QuarantineFile('c:\windows\system32\ctsrv.exe','');
DeleteFile('c:\windows\system32\qfqf4xpi4c\d001.exe');
DeleteFile('c:\windows\system32\ctsrv.exe');
DeleteFile('c:\windows\system32\asitsvstart.dll');
DeleteFile('C:\WINDOWS\TEMP\BClib\dp1.fne');
DeleteFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne');
DeleteFile('C:\WINDOWS\TEMP\BClib\krnln.fne');
DeleteFile('C:\WINDOWS\system32\regedit32.exe');
DeleteFile('C:\WINDOWS\system32\QT9Y289L2I\eoo1.exe');
DeleteFile('C:\WINDOWS\system32\WiSwite2.exe');
DeleteFile('C:\WINDOWS\system32\Witingsp32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1474232053-3548892259-697200048-8402\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1474232053-3548892259-697200048-8402\wmfcgr.exe,explorer.exe,C:\WINDOWS\system32\moniter.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\Program Files\Microsoft Office\svchost.exe');
DeleteFile('C:\WINDOWS\system32\47.scr');
DelCLSID('{LMS03AB-B707-11d2-9CBD-0000F87A369E}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AsiSrv\Parameters','ServiceDll');
DeleteService('Witingsp32');
DeleteService('WiSwite32');
DeleteService('Description1.6');
DeleteService('BackGround Switch');
DeleteService('NetActive');
DeleteService('DescriptionHero2');
DeleteFileMask('C:\WINDOWS\system32\QT9Y289L2I', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\QT9Y289L2I');
DeleteFileMask('c:\windows\system32\qfqf4xpi4c', '*.*', true);
DeleteDirectory('c:\windows\system32\qfqf4xpi4c');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
13.04.2010, 21:30
vanvan

Логи
13.04.2010, 22:07
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\DwoOEMihHSWoLwa.dll
c:\windows\system32\SvrFEYahssD.dll
c:\windows\system32\YRSpkABEADcCIWC.dll
c:\windows\system32\wfnzraASCwXfmKi.dll
c:\windows\system32\CQLGqXePmRQI.dll
c:\windows\system32\zPUuBOXDnpR.dll
c:\windows\system32\LbjSndaUGZRczy.dll
c:\windows\system32\qoAzWrQdSoZzImH.dll

Driver::

Folder::
c:\windows\system32\4NOMHUJAMO
c:\windows\system32\4G2AMU5J1D
c:\windows\system32\FP08U1O4B1
c:\windows\system32\F7YJTUC8OL
c:\windows\system32\FUIF1GYY74
c:\windows\system32\ETJ1QVPVHF
c:\windows\system32\E5KKYYGR8T
c:\windows\system32\EB7JIDLG4G
c:\windows\system32\EHLPVGYL9I
c:\windows\system32\ESVNZA9X1S
c:\windows\system32\DEMX9AIEU5
c:\windows\system32\DG64B6A7JF
c:\windows\system32\D9KRG6XFX3
c:\windows\system32\DVA1P66WQH
c:\windows\system32\C8ESBYVE0C
c:\windows\system32\BNCANL3CXJ
c:\windows\system32\AFJYNDOJEG
c:\windows\system32\AJ7JV6L5KF
c:\windows\system32\9QO4E73266
c:\windows\system32\9FM602N5XX
c:\windows\system32\99TE3OMM1R
c:\windows\system32\817NX30SQR
c:\windows\system32\8F2S3S3X7A
c:\windows\system32\7JQDCL0ID8
c:\windows\system32\MDTOCJP15W
c:\windows\system32\L9PQ2S5Y0B
c:\windows\system32\J6X5NLL3UF
c:\windows\system32\IF7INLH5YS
c:\windows\system32\IF1QALMBY8
c:\windows\system32\HXP833HWL8
c:\windows\system32\HH7BU7QQYE
c:\windows\system32\GEZR0PH0SH
c:\windows\system32\FW0V1MWNYT
c:\windows\system32\EJNYMXHZZT
c:\windows\system32\DISK6N6L15
c:\windows\system32\CAPT9Q6CH6
c:\windows\system32\BXS43Q7YJL
c:\windows\system32\ABQ84R7TR4
c:\windows\system32\9M9SMN4JBP
c:\windows\system32\9VBJ8JE9MQ
c:\windows\system32\826IIMED0D
c:\windows\system32\8PREQ8Z3JW
c:\windows\system32\7VV67LSRN3
c:\windows\system32\6NCMDP5IVK
c:\windows\system32\5Y26L8WNX6
c:\windows\system32\4E0PYV5LUD
c:\windows\system32\9WRKF8AD1P
c:\windows\system32\8HPOLN72EW
c:\windows\system32\69D4HEF93D
c:\windows\system32\5F83RHFDH1
c:\windows\system32\NK9PB614JS
c:\windows\system32\L06G66BZ9G
c:\windows\system32\KKQRAYIE42
c:\windows\system32\JU1A36LO6M
c:\windows\system32\I69N8OZTGT
c:\windows\system32\GJ6TZUVCIK
c:\windows\system32\E2VQMDRFEI
c:\windows\system32\CKVUN962KV
c:\windows\system32\B0WKDKDM0J
c:\windows\system32\AVFT1649EE
c:\windows\system32\8OH2ZK1PLG
c:\windows\system32\7V1UV9I8QO
c:\windows\system32\5WXGEBNW02
c:\windows\system32\43G8904F5A
c:\windows\system32\36MUSM8T4G
c:\windows\system32\1K5KTPM7DC
c:\windows\system32\ZPH66I232C
c:\windows\system32\YJ10IJLNQI
c:\windows\system32\XWWRENGPHC
c:\windows\system32\XFEU5ROJUH
c:\windows\system32\65CMINN1IX
c:\windows\system32\4S9IB90WBG
c:\windows\system32\4QRJL17Q4O
c:\windows\system32\3M66PW8QG6
c:\windows\system32\2NI69W0VP7
c:\windows\system32\20QP7NK7YM
c:\windows\system32\1GFFDY0M59
c:\windows\system32\1TKYFEN8NN
c:\windows\system32\0B8G7VJSAO
c:\windows\system32\0M9L4D1MBD
c:\windows\system32\YKQUXIABV1
c:\windows\system32\YN58NF69LR
c:\windows\system32\X5KX8MAAH7
c:\windows\system32\HIHNAAVSNA
c:\windows\system32\G1553SRD9A
c:\windows\system32\GTD0VTIROF
c:\windows\system32\FWOEQEH0N5
c:\windows\system32\F036SWM12J
c:\windows\system32\E2EKNHMA18
c:\windows\system32\EFWWSKZ616
c:\windows\system32\DP7GLR2G2R
c:\windows\system32\DWF8XHRTYZ
c:\windows\system32\CKHW220JQ2
c:\windows\system32\CICPEIWM0U
c:\windows\system32\BN0ANBT76S
c:\windows\system32\BOUWLX6GXX
c:\windows\system32\BN8ACZONPS
c:\windows\system32\BZI8GSZ0G2
c:\windows\system32\AQWHA7D552
c:\windows\system32\A7UEYFT6SY
c:\windows\system32\9G5KF1OD4U
c:\windows\system32\QFQF4XPI4C
c:\windows\system32\PGL13J2SUH
c:\windows\system32\PP1ZX5SS6X
c:\windows\system32\PN2LMKKPG8

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"AsiSrv"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
14.04.2010, 09:54
vanvan

Повторные логи
14.04.2010, 14:14
vanvan

Это все? Логи чисты?
14.04.2010, 14:50
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\asitsclib.dll

Driver::

Folder::
c:\windows\system32\PJ971RRABQ
c:\windows\system32\z

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
15.04.2010, 14:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]44[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - [B]Email-Flooder.Win32.Agent.al[/B] ( DrWEB: Trojan.Inject.8599, BitDefender: Backdoor.Tofsee.BV, AVAST4: Win32:Flot-E [Trj] )[*] c:\recycler\s-1-5-21-1474232053-3548892259-697200048-8402\wmfcgr.exe - [B]P2P-Worm.Win32.Palevo.xmr[/B] ( DrWEB: Trojan.MulDrop1.9814, BitDefender: Worm.Generic.234391, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\asitsvstart.dll - [B]Trojan-Downloader.Win32.Agent.dnbh[/B] ( DrWEB: Trojan.DownLoader1.4778, BitDefender: DeepScan:Generic.Peed.40954F02, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\ctsrv.exe - [B]Backdoor.Win32.Hupigon.knjk[/B] ( DrWEB: BackDoor.Pigeon.2254, BitDefender: GenPack:Backdoor.Hupigon.YSM, AVAST4: Win32:Hupigon-CES [Trj] )[*] c:\windows\system32\qfqf4xpi4c\d001.exe - [B]Trojan-GameThief.Win32.OnLineGames.wjxb[/B] ( DrWEB: Trojan.Siggen1.19101, BitDefender: Trojan.Generic.3595791, AVAST4: Win32:Dogrobot [Drp] )[*] c:\windows\system32\regedit32.exe - [B]Backdoor.Win32.DarkShell.ec[/B] ( DrWEB: Trojan.DownLoad.28073, BitDefender: Trojan.Generic.3602926, AVAST4: Win32:Agent-AFWS [Trj] )[/LIST][/LIST]