Прописался в автозагрузке, страшно тормозит систему, в интернет пока пускает. Помогите, пожалуйста.
Printable View
Прописался в автозагрузке, страшно тормозит систему, в интернет пока пускает. Помогите, пожалуйста.
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\ea8c2f2e.exe,C:\WINDOWS\system32\cocygk.exe,
[/CODE]
Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\ea8c2f2e.exe','');
QuarantineFile('C:\WINDOWS\system32\cocygk.exe','');
QuarantineFile('C:\Documents and Settings\denbrough@helen\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\DOCUME~1\DENBRO~1\LOCALS~1\Temp\02Od1Ffp.sys');
DeleteFile('C:\Documents and Settings\denbrough@helen\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\cocygk.exe');
DeleteFile('C:\WINDOWS\system32\ea8c2f2e.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
все сделал, карантин выслал, новые логи прилагаю.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O4 - Startup: wwwznv32.exe[/CODE]
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\denbrough@helen\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
BC_DeleteFile('C:\Documents and Settings\denbrough@helen\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правилам ([U]virusinfo_syscheck.zip[/U] и [U]hijackthis.log[/U])
Вот, все сделал. Только опять этот wwwznv32 в логе хайджека висит.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\denbrough@helen\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^denbrough@helen^Главное меню^Программы^Автозагрузка^wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
при попытке отправить файл quarantine.zip получаю сообщение:
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Остальные файлы прилагаю.
Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
После комбофикса все стало нормально, процесс пропал из автозагрузки, компьютер ведет себя стабильно. Огромное спасибо!
Лог прилагаю. Nod32 был выключен, несмотря на то, что там написано.
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
вирус побежден, спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\denbrough@helen\главное меню\программы\автозагрузка\wwwznv32.exe - [B]Worm.Win32.Pinit.pt[/B] ( DrWEB: Trojan.MulDrop1.39607, AVAST4: Win32:Crypt-GWP [Drp] )[*] c:\windows\system32\ea8c2f2e.exe - [B]Backdoor.Win32.Shiz.li[/B] ( DrWEB: BackDoor.Siggen.25651, BitDefender: Backdoor.Generic.407254, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:Spyware-gen [Spy] )[/LIST][/LIST]