Помогите очистить компьютер

Printable View

17.08.2010, 23:05
OlegMal

Помогите очистить компьютер

Добрый вечер. Комп уходил в BSOD при любых видах загрузки. После неких манипуляций хоть через раз но грузится. Просканировал с помощью AVZ, и там он нашел много всякого д...ма. Посмотрите пож логи.
17.08.2010, 23:22
Шапельский Александр

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HijackThis:
[code]
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [MsServer] msfir80.exe
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [wuaucldt] c:\documents and settings\admin\wuaucldt.exe
O4 - HKLM\..\Run: [wuaucldt] c:\windows\system32\wuaucldt.exe
O4 - Startup: 0bbxndz.exe
O4 - Startup: 0kkfwwr.exe
O4 - Startup: 0yytkkf.exe
O4 - Startup: 2faa6mm.exe
O4 - Startup: bxnnjzzvll.exe
O4 - Startup: c1yuupgg.exe
O4 - Startup: cxoojalg.exe
O4 - Startup: ekglhxxtjjk.exe
O4 - Startup: fa1wssneez.exe
O4 - Startup: l0w3s6j60.exe
O4 - Startup: tkkfwwriijz.exe
O4 - Startup: tkkfwwxn.exe
O4 - Startup: w3yytkka9w1.exe
O4 - Startup: yy6kk6ww6.exe
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-DB9CD608.EXE
[/code]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\FLU7GZ7B\cwmkjn[1].exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\131.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\015.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-DB9CD608.EXE','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\yy6kk6ww6.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\w3yytkka9w1.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\tkkfwwxn.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\tkkfwwriijz.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\l0w3s6j60.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ekglhxxtjjk.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\cxoojalg.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\c1yuupgg.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\bxnnjzzvll.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\2faa6mm.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\0yytkkf.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\0kkfwwr.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\0bbxndz.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\yjty.exe','');
QuarantineFile('srservice.sys','');
DeleteService('srservice');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
DeleteFile('srservice.sys');
DeleteFile('C:\Documents and Settings\Admin\Application Data\yjty.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\0bbxndz.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\0kkfwwr.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\0yytkkf.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\2faa6mm.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\bxnnjzzvll.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\c1yuupgg.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\cxoojalg.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ekglhxxtjjk.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\l0w3s6j60.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\tkkfwwriijz.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\tkkfwwxn.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\w3yytkka9w1.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\yy6kk6ww6.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\XP-DB9CD608.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-DB9CD608');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp','???.exe',true);
DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer
18.08.2010, 09:37
OlegMal

Скрипт выполнил, логи прилагаю
18.08.2010, 09:53
Шапельский Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
QuarantineFile('c:\documents and settings\admin\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
DeleteFile('c:\documents and settings\admin\wuaucldt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteService('gewjpc');
DeleteService('AtapiDrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer
18.08.2010, 10:41
OlegMal

Карантин выслал, скрипт выполнил , логи прилагаю.
18.08.2010, 14:02
Шапельский Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
18.08.2010, 14:28
OlegMal

Карантин выслал, скрипт выполнил, лог прилагаю.
18.08.2010, 14:36
Шапельский Александр

Чисто, что с проблемой?
Рекомендую:
- установить [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете);
- установить последние обновления системы Windows - [URL="http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5"]здесь[/URL];
- установить [URL="http://www.avast.com/ru-ru/index"]Avast v5[/URL]
18.08.2010, 14:43
OlegMal

Комп ведет себя вполне адекватно. Ставлю Avira Antivir, а что, Avast лучше защищает?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=OlegMal;690310]Комп ведет себя вполне адекватно. Ставлю Avira Antivir, а что, Avast лучше защищает?[/QUOTE] Кстати, все, что сегодня вы помогли очистить, было поймано именно с Avast 5:?. Спасибо за помощь. Тему можно закрывать.
18.08.2010, 14:48
Шапельский Александр

[QUOTE='OlegMal;690310']Ставлю Avira Antivir, а что, Avast лучше защищает?[/QUOTE]
Авиру бесплатную ставите? Мое мнение лучше бесплатный Аваст. Если Авира платная, то лучше Авиру. Поясню: бесплатная Авира обновляется раз в сутки (по крайней мере недавно так было), Аваст обновляется по мере выхода новых антивирусных баз.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE='OlegMal;690310']Кстати, все, что сегодня вы помогли очистить, было поймано именно с Avast 5.[/QUOTE] Поправлю с Аваст 4.8

Думаете с другим антивирусом это не поймаете?
18.08.2010, 14:57
OlegMal

Не буду спорить, словить можно все что угодно независимо от антивиря. А Авиру ставлю именно из-за частого обновления баз. Правда наверно надо переходить на KIS. На домашних компах пользую уже третий год, никаких проблем. Еще раз спасибо за помощь
19.08.2010, 14:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]50[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\yjty.exe - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.4864872, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\documents and settings\\admin\\local settings\\temporary internet files\\content.ie5\\flu7gz7b\\cwmkjn[1].exe - [B]Trojan-Downloader.Win32.Refroso.arf[/B] ( DrWEB: Trojan.MulDrop1.48239, BitDefender: Backdoor.Generic.413661, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\admin\\local settings\\temp\\015.exe - [B]Trojan-Downloader.Win32.Refroso.ard[/B] ( DrWEB: Trojan.MulDrop1.48239, BitDefender: Backdoor.Generic.413661, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\admin\\local settings\\temp\\131.exe - [B]Trojan-Downloader.Win32.Refroso.cfq[/B] ( DrWEB: Trojan.MulDrop1.48239, BitDefender: Backdoor.Generic.413661, AVAST4: Win32:Lethic-B [Trj] )[/LIST][/LIST]