Подозрение на вирус.

Printable View

03.06.2010, 11:11
dimkakrm

Подозрение на вирус.

У меня подозрение на вирус. При включении компьютера и запуска интернет обозревателя, в диспетчере задач загрузка процессора - 100 %, в следствии чего работать на компьютере вообще не возможно. Прошу помочь.
03.06.2010, 11:17
DefesT

Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\UserLM\Рабочий стол\мммм\Programs\Dinai.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\Ms0EIGe.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\6Fmw86E.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\6Fmw86E.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Ms0EIGe.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
03.06.2010, 11:58
dimkakrm

Карантин отправил, логи прилагаю.
03.06.2010, 12:14
DefesT

В логах активной заразы больше нет. Проблема решилась?
03.06.2010, 12:27
dimkakrm

Нет опера запускается но открыть какую либо страницу невозможно, программа просто зависает. В диспетчере задач dwwin.exe занимает 100% процессора из-за этого невозможно практически ничего сделать.
03.06.2010, 12:41
DefesT

Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mtyhsxqo.dll','');
DeleteFile('C:\WINDOWS\system32\mtyhsxqo.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новый лог virusinfo_syscheck.zip
03.06.2010, 14:04
dimkakrm

Карантин отправил, лог сделал, отправил
03.06.2010, 14:46
thyrex

Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
03.06.2010, 14:52
dimkakrm

Все сделал как просили
03.06.2010, 16:21
dimkakrm

Какие дальнейшие действия?

[size="1"][color="#666686"][B][I]Добавлено через 43 минуты[/I][/B][/color][/size]

Вроде бы как все работает нормально, вы что скажете по этому поводу? Все нормально или нет?
03.06.2010, 16:31
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\R1spaNm.exe','');
QuarantineFile('C:\WINDOWS\system32\1ovaCAU.exe','');
QuarantineFile('C:\WINDOWS\system32\eFtL5JM.exe','');
QuarantineFile('C:\WINDOWS\system32\JsQ2ovY.exe','');
QuarantineFile('C:\WINDOWS\system32\tmp.tmp','');
DeleteFileMask('C:\WINDOWS\Tasks', 'At*.job', false);
DeleteFile('C:\WINDOWS\system32\1ovaCAU.exe');
DeleteFile('C:\WINDOWS\system32\R1spaNm.exe');
DeleteFile('C:\WINDOWS\system32\eFtL5JM.exe');
DeleteFile('C:\WINDOWS\system32\JsQ2ovY.exe');
DeleteFile('C:\WINDOWS\system32\tmp.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи log.txt и info.txt с помощью RSIT
03.06.2010, 16:41
dimkakrm

Карантин отправил, логи прикрепил
03.06.2010, 16:45
dimkakrm

Ребята а можно пожалуйста по быстрей отвечать, а то я через 45 мин должен уехать аж на пару дней, не хотелось бы компьютер не вылеченным оставить. Плызззз!
03.06.2010, 16:54
polword

плохого не увидел. Еще что-нибудь беспокоит?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
03.06.2010, 16:59
dimkakrm

Огромное спасибо ребята, вроде бы все работает в норме
04.06.2010, 16:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\mtyhsxqo.dll - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.DownLoad1.63698 )[*] \\?\globalroot\systemroot\system32\ms0eige.exe - [B]Trojan-Dropper.Win32.Shiz.eb[/B] ( DrWEB: Trojan.Packed.20375, AVAST4: Win32:Malware-gen )[*] \\?\globalroot\systemroot\system32\6fmw86e.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20375, NOD32: Win32/Spy.Shiz.NAY trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]