Здравствуйте! При запуске диспетчера задач и реестра пишет что отключено администратором! Интернет вылетает через каждые 30 секунд, а если не вылетает, то ужасно тормозит.
Printable View
Здравствуйте! При запуске диспетчера задач и реестра пишет что отключено администратором! Интернет вылетает через каждые 30 секунд, а если не вылетает, то ужасно тормозит.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\Prgds.exe
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O4 - HKLM\..\Run: [Prcgd] C:\WINDOWS\system32\drivers\Prcgd.exe
O4 - HKCU\..\Run: [psuu4] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe
O4 - HKCU\..\Run: [psysnew] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\Chvgrm.exe
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\x','');
QuarantineFile('C:\WINDOWS\system32\Drivers\chvgrm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5499294886-7578276671-595588789-8834\sysdata.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Prcgd.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Chvgrm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0860029976-2636096113-341653347-1786\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0860029976-2636096113-341653347-1786\syscr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Chvgrm.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Prcgd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5499294886-7578276671-595588789-8834\sysdata.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\chvgrm.exe');
DeleteFile('C:\WINDOWS\system32\x');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=77291[/url]).
Сделайте новые логи.
Вроде бы диспетчер и реестр работают, но почему то ваш сайт загружается только после использования кидокиллера
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\ollfk.dll','');
DeleteFile('C:\WINDOWS\System32\ollfk.dll');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('pvddok');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Откройте в AVZ [I]Файл - Мастер поиска и устранения проблем[/I] и исправьте:
>> Нарушение ассоциации REG файлов
>> Подмена диспетчера задач
>> Таймаут завершения служб находится за пределами допустимых значений
Сделайте новый лог по п.1 раздела [I]Диагностика[/I].
Вот логи gmer
Карантин выслал, предоставляю логи
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wlcmon.exe');
QuarantineFile('c:\windows\wlcmon.exe','');
DeleteFile('c:\windows\wlcmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Updater');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Updater');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Карантин выслал, логи предоставляю!
Пока не обновите систему, так и будете лечиться
Делайте снова лог gmer
А без переустановки системы никак?
[QUOTE='stormey;630277']А без переустановки системы никак?[/QUOTE]Обновление - это не переустановка
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service mhlzlzxtc
gmer.exe -del file "C:\WINDOWS\system32\ollfk.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mhlzlzxtc"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\mhlzlzxtc"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
[QUOTE='stormey;630277']А без переустановки системы никак?[/QUOTE]
Переустановка не требуется, надо установить SP3 и последующие обновления, чтобы закрыть дыры в системе. Так что первым делом качайте SP3 и [URL="http://poleznosti.ru/soft/file_catalog/?file_id=20080528205228"]вот этот пакет[/URL]. Вышеозначенное лечение гмером производите отключившись от всех сетей, затем ставьте обновления, и только потом подключайтесь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe - [B]Trojan.Win32.VBKrypt.mm[/B] ( DrWEB: Trojan.MulDrop1.16663, BitDefender: Trojan.Generic.3912614, AVAST4: Win32:VB-OWZ [Drp] )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe - [B]Trojan.Win32.VBKrypt.ml[/B] ( DrWEB: Trojan.Click.50748, BitDefender: Trojan.Generic.3792734, AVAST4: Win32:VB-OWZ [Drp] )[*] c:\recycler\s-1-5-21-0860029976-2636096113-341653347-1786\syscr.exe - [B]Trojan.Win32.VBKrypt.mk[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.3845507, AVAST4: Win32:VB-OWZ [Drp] )[*] c:\recycler\s-1-5-21-5499294886-7578276671-595588789-8834\sysdata.exe - [B]Packed.Win32.Krap.af[/B] ( DrWEB: Trojan.Packed.19767, BitDefender: Worm.Generic.104809, NOD32: Win32/Peerfrag.DC worm, AVAST4: Win32:MalOb-U [Cryp] )[*] c:\windows\system32\drivers\chvgrm.exe - [B]Trojan-Downloader.Win32.Refroso.kq[/B] ( DrWEB: BackDoor.IRC.Bot.124, BitDefender: Backdoor.IRCBot.ACTH, NOD32: Win32/Injector.UQ trojan, AVAST4: Win32:Sality )[*] c:\windows\system32\drivers\prcgd.exe - [B]Net-Worm.Win32.Kolab.iad[/B] ( DrWEB: BackDoor.IRC.Sdbot.12290, BitDefender: Backdoor.IRCBot.ACZH, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\x - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.X worm, AVAST4: Win32:Confi [Wrm] )[*] c:\windows\system32\x - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] )[*] c:\windows\wlcmon.exe - [B]Trojan.Win32.Buzus.dtqz[/B] ( DrWEB: Trojan.Packed.20051, AVAST4: Win32:Malware-gen )[/LIST][/LIST]