проблема аналогична упоминавшейся сегодня
Lsass.exe грузит систему на 95-99% при подключенном сетевом кабеле с интернетом. Если кабель отключить и перезагрузить систему, то комп работает нормально.
Printable View
проблема аналогична упоминавшейся сегодня
Lsass.exe грузит систему на 95-99% при подключенном сетевом кабеле с интернетом. Если кабель отключить и перезагрузить систему, то комп работает нормально.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\esp4DFC.tmp','');
QuarantineFile('rdpclipC:\WINDOWS\system32\bndmss.exeC:\DOCUME~1\BUHGAL~1\LOCALS~1\Temp\122.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\PjfcEqA.exe','');
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\myrcugrd.dll','');
QuarantineFile('C:\WINDOWS\system32\856e4203.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243636035-3055115376-381863306-1556\pqlmq.exe','');
QuarantineFile('C:\DOCUME~1\BUHGAL~1\LOCALS~1\Temp\122.exe','');
DeleteFile('C:\DOCUME~1\BUHGAL~1\LOCALS~1\Temp\122.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Network Data Management System Service');
DeleteFile('C:\RECYCLER\S-1-5-21-0243636035-3055115376-381863306-1556\pqlmq.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG515-K641-55SF-N66P');
DeleteFile('C:\WINDOWS\system32\856e4203.exe');
DeleteFile('C:\WINDOWS\system32\myrcugrd.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system\svchost.exe');
DeleteFile('\\?\globalroot\systemroot\system32\PjfcEqA.exe');
DeleteFile('C:\WINDOWS\Temp\esp4DFC.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Смените все пароли[/B]
Сделайте новые логи
Скачайте [url="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
в карантине ничего нет:O
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\X843C5r.exe','');
QuarantineFile('C:\WINDOWS\system32\6L9dZPb.exe','');
QuarantineFile('C:\WINDOWS\system32\RNENG2p.exe','');
QuarantineFile('C:\WINDOWS\system32\M3bCV7S.exe','');
QuarantineFile('C:\WINDOWS\system32\NMAPGQ2.exe','');
QuarantineFile('C:\WINDOWS\system32\6K5qFmn.exe','');
QuarantineFile('C:\WINDOWS\system32\IhWIYd5.exe','');
QuarantineFile('C:\WINDOWS\system32\rIxWa05.exe','');
QuarantineFile('C:\WINDOWS\system32\TUNhf8k.exe','');
QuarantineFile('C:\WINDOWS\system32\D8dy3eq.exe','');
QuarantineFile('C:\WINDOWS\system32\rH5RxbP.exe','');
QuarantineFile('C:\WINDOWS\system32\DKZdXya.exe','');
QuarantineFile('C:\WINDOWS\system32\uDIMAur.exe','');
QuarantineFile('C:\WINDOWS\system32\mqDE0zl.exe','');
QuarantineFile('C:\WINDOWS\system32\tmp.tmp','');
QuarantineFile('C:\WINDOWS\system32\y623vZg.exe','');
QuarantineFile('C:\WINDOWS\system32\zc7KwcC.exe','');
QuarantineFile('C:\WINDOWS\system32\rkVuI3g.exe','');
QuarantineFile('C:\WINDOWS\system32\NL8KMOC.exe','');
QuarantineFile('C:\WINDOWS\system32\RAXvSQD.exe','');
QuarantineFile('C:\WINDOWS\system32\blq5xSH.exe','');
QuarantineFile('C:\WINDOWS\system32\6GglHmU.exe','');
QuarantineFile('C:\WINDOWS\system32\v0Nap2P.exe','');
QuarantineFile('C:\WINDOWS\system32\pfIEb68.exe','');
QuarantineFile('C:\WINDOWS\system32\wNxdcHS.exe','');
QuarantineFile('C:\WINDOWS\system32\dj6OlHe.exe','');
QuarantineFile('C:\WINDOWS\system32\DBkTmi8.exe','');
QuarantineFile('C:\WINDOWS\system32\3lyDcpy.exe','');
QuarantineFile('C:\WINDOWS\system32\aNXbbnM.exe','');
QuarantineFile('C:\WINDOWS\system32\fRLZUtw.exe','');
QuarantineFile('C:\WINDOWS\system32\V2jE8lb.exe','');
QuarantineFile('C:\WINDOWS\system32\wnk8shy.exe','');
QuarantineFile('C:\WINDOWS\system32\pIvtSqs.exe','');
QuarantineFile('C:\WINDOWS\system32\rPMrChS.exe','');
QuarantineFile('C:\WINDOWS\system32\tmc8kon.exe','');
QuarantineFile('C:\WINDOWS\system32\ItPEIDG.exe','');
QuarantineFile('C:\WINDOWS\system32\udEvpuu.exe','');
QuarantineFile('C:\WINDOWS\system32\xH2uFjA.exe','');
DeleteFile('C:\WINDOWS\system32\X843C5r.exe');
DeleteFile('C:\WINDOWS\system32\6L9dZPb.exe');
DeleteFile('C:\WINDOWS\system32\RNENG2p.exe');
DeleteFile('C:\WINDOWS\system32\M3bCV7S.exe');
DeleteFile('C:\WINDOWS\system32\NMAPGQ2.exe');
DeleteFile('C:\WINDOWS\system32\6K5qFmn.exe');
DeleteFile('C:\WINDOWS\system32\IhWIYd5.exe');
DeleteFile('C:\WINDOWS\system32\rIxWa05.exe');
DeleteFile('C:\WINDOWS\system32\TUNhf8k.exe');
DeleteFile('C:\WINDOWS\system32\D8dy3eq.exe');
DeleteFile('C:\WINDOWS\system32\rH5RxbP.exe');
DeleteFile('C:\WINDOWS\system32\DKZdXya.exe');
DeleteFile('C:\WINDOWS\system32\uDIMAur.exe');
DeleteFile('C:\WINDOWS\system32\mqDE0zl.exe');
DeleteFile('C:\WINDOWS\system32\tmp.tmp');
DeleteFile('C:\WINDOWS\system32\y623vZg.exe');
DeleteFile('C:\WINDOWS\system32\zc7KwcC.exe');
DeleteFile('C:\WINDOWS\system32\rkVuI3g.exe');
DeleteFile('C:\WINDOWS\system32\NL8KMOC.exe');
DeleteFile('C:\WINDOWS\system32\RAXvSQD.exe');
DeleteFile('C:\WINDOWS\system32\blq5xSH.exe');
DeleteFile('C:\WINDOWS\system32\6GglHmU.exe');
DeleteFile('C:\WINDOWS\system32\v0Nap2P.exe');
DeleteFile('C:\WINDOWS\system32\pfIEb68.exe');
DeleteFile('C:\WINDOWS\system32\wNxdcHS.exe');
DeleteFile('C:\WINDOWS\system32\dj6OlHe.exe');
DeleteFile('C:\WINDOWS\system32\DBkTmi8.exe');
DeleteFile('C:\WINDOWS\system32\3lyDcpy.exe');
DeleteFile('C:\WINDOWS\system32\aNXbbnM.exe');
DeleteFile('C:\WINDOWS\system32\fRLZUtw.exe');
DeleteFile('C:\WINDOWS\system32\V2jE8lb.exe');
DeleteFile('C:\WINDOWS\system32\wnk8shy.exe');
DeleteFile('C:\WINDOWS\system32\pIvtSqs.exe');
DeleteFile('C:\WINDOWS\system32\rPMrChS.exe');
DeleteFile('C:\WINDOWS\system32\tmc8kon.exe');
DeleteFile('C:\WINDOWS\system32\ItPEIDG.exe');
DeleteFile('C:\WINDOWS\system32\udEvpuu.exe');
DeleteFile('C:\WINDOWS\system32\xH2uFjA.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] из папки AVZ закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B] вверху темы
Сделайте новые отчёты RSIT
rsit создал только log
Чисто. Проблема решена?
огромное СПАСИБО
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]37[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\anxbbnm.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4224594, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\blq5xsh.exe - [B]Trojan.Win32.Jorik.Shiz.l[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4351187, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\dbktmi8.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4225575, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\dj6olhe.exe - [B]Backdoor.Win32.Shiz.ju[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4338503, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\dkzdxya.exe - [B]Trojan.Win32.Scar.cmda[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\d8dy3eq.exe - [B]Trojan.Win32.Jorik.Shiz.w[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\frlzutw.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.380069, NOD32: Win32/Spy.Shiz.NAL trojan )[*] c:\windows\system32\ihwiyd5.exe - [B]Trojan.Win32.Jorik.Shiz.v[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4532542, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\itpeidg.exe - [B]Trojan.Win32.Scar.cigg[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4202245, NOD32: Win32/Spy.Shiz.NBD trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\mqde0zl.exe - [B]Trojan.Win32.Agent.ejtg[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4544103, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\m3bcv7s.exe - [B]Trojan.Win32.Jorik.Shiz.ae[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\nl8kmoc.exe - [B]Trojan.Win32.Jorik.Shiz.j[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4538518, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\nmapgq2.exe - [B]Trojan.Win32.Jorik.Shiz.ae[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\pfieb68.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4372314, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\pivtsqs.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4215942, NOD32: Win32/Spy.Shiz.NBD trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\raxvsqd.exe - [B]Trojan.Win32.Jorik.Shiz.t[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWAy1Epi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\rh5rxbp.exe - [B]Backdoor.Win32.Shiz.jt[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\rixwa05.exe - [B]Trojan.Win32.Jorik.Shiz.v[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4532542, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\rkvui3g.exe - [B]Trojan.Win32.Jorik.Shiz.j[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4538518, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\rneng2p.exe - [B]Trojan.Win32.Jorik.Shiz.ae[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\rpmrchs.exe - [B]Trojan-Spy.Win32.Shiz.ci[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4180799, NOD32: Win32/Spy.Shiz.NBD trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\tmc8kon.exe - [B]Trojan-Spy.Win32.Shiz.ci[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4180799, NOD32: Win32/Spy.Shiz.NBD trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\tunhf8k.exe - [B]Trojan.Win32.Jorik.Shiz.v[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4532542, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\udevpuu.exe - [B]Trojan-Dropper.Win32.Shiz.dc[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4310864, NOD32: Win32/Spy.Shiz.NAW trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\udimaur.exe - [B]Trojan.Win32.Scar.cmda[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\v0nap2p.exe - [B]Trojan.Win32.Jorik.Shiz.g[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\v2je8lb.exe - [B]Trojan.Win32.Scar.cjmp[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4160686, NOD32: Win32/Spy.Shiz.NBD trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\wnk8shy.exe - [B]Trojan.Win32.Scar.cjmp[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4160686, NOD32: Win32/Spy.Shiz.NBD trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\wnxdchs.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4372069, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\xh2ufja.exe - [B]Trojan.Win32.Scar.cdyi[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4202197, NOD32: Win32/Spy.Shiz.NAW trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\x843c5r.exe - [B]Trojan.Win32.Jorik.Shiz.ai[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\y623vzg.exe - [B]Trojan.Win32.Jorik.Shiz.o[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a8xdKqoi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\zc7kwcc.exe - [B]Trojan.Win32.Jorik.Shiz.o[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a8xdKqoi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\3lydcpy.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4224594, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\6gglhmu.exe - [B]Trojan.Win32.Jorik.Shiz.l[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4351187, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\6k5qfmn.exe - [B]Backdoor.Win32.Shiz.jj[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\6l9dzpb.exe - [B]Trojan.Win32.Jorik.Shiz.ae[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]