Подменен диспетчер задач, проблемы с интернетом

Printable View

Показывать 40 сообщений этой темы на одной странице

05.09.2010, 12:09
Samplitude

Подменен диспетчер задач, проблемы с интернетом

Что-то блокирует доступ в интернет, поменяло мне диспетчер задач, касперский деактивирован. Что делать?!!
05.09.2010, 12:14
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\a441e9qy.SYS','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\Кирилл\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\14.scr','');
QuarantineFile('C:\WINDOWS\system32\74.scr','');
DeleteFile('C:\WINDOWS\system32\74.scr');
DeleteFile('C:\WINDOWS\system32\14.scr');
DeleteFile('C:\Documents and Settings\Кирилл\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи + - Скачайте [URL="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([B]RSIT[/B]) в корне системного диска.
05.09.2010, 12:52
Samplitude

все сделал. Логи прикрепил. карантин выслал.
05.09.2010, 13:03
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\e1u2c2f3u7b4.exe');
QuarantineFile('c:\e1u2c2f3u7b4.exe','');
TerminateProcessByName('c:\windows\system32\zsorm.exe');
QuarantineFile('C:\WINDOWS\system32\Zsorm.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctljystk.sys','');
QuarantineFile('C:\WINDOWS\system32\61.exe','');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\Documents and Settings\Кирилл\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\54.scr');
DeleteFile('C:\WINDOWS\system32\Zsorm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи АВЗ + логи RSIT
05.09.2010, 13:23
Samplitude

Логи прикрепил.
05.09.2010, 13:24
Samplitude

Карантин выслал.
05.09.2010, 13:36
olejah

Выполните скрипт в АВЗ -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\e1u2c2f3u7b4.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

- Что с проблемой?
05.09.2010, 16:28
Samplitude

скрипт выполнил. в диспетчере задач висят процессы: wuaucult.exe; C:\WINDOWS\system32\msvmiode; C:\WINDOWS\cfdrive32. Теперь даже с этими процессами в интернет можно выйти. Раньше пока их не завершу - не мог выйти. Часто вылетают сообщения о ошибках в каких-то файлах. Интернет сильно тормозит.
05.09.2010, 16:31
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL]
05.09.2010, 17:33
Samplitude

Сделал сканирование MBAM но система зависла. Перезагрузился кнопкой reset. Лога нет. Что сделать?
05.09.2010, 17:35
olejah

А где искали?
05.09.2010, 17:37
Samplitude

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs по этому пути искал.
05.09.2010, 17:38
olejah

Я только не понял зачем перезагружаться надо было. Давайте заново без перезагрузки.
05.09.2010, 17:41
Samplitude

Система абсолютно зависла, курсор не двигался, ctrl+alt+delete не действовали, клавиша Windows не реагировала, после минут 20 ожидания я и перегрузился. ОК, процесс сканирования MBAM запущен.
05.09.2010, 17:54
Samplitude

Вот лог MBAM.
05.09.2010, 18:04
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-3274150017-4678720141-052974308-2304\syscr.exe,explorer.exe,C:\Documents and Settings\Кирилл\Application Data\ltzqai.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.

Зараженные файлы:
C:\RECYCLER\S-1-5-21-3274150017-4678720141-052974308-2304\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-7977601498-1189257045-752141501-7853\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
[/CODE]

- Повторите лог МВАМ
05.09.2010, 18:26
Samplitude

Удалил все что написали. Прикрепляю лог после удаления.
05.09.2010, 18:32
olejah

Больше плохого нет...
05.09.2010, 18:40
Samplitude

В диспетчере задач по прежнему висит процесс msvmiode.exe. Это он и cfdrive32.exe (его нет уже) не давали мне доступ в интернет...
05.09.2010, 19:02
olejah

[QUOTE='Samplitude;701926']msvmiode.exe.[/QUOTE] Этого нет ни в одном логе.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Но если хочется, можно ударить вслепую -

Выполните скрипт в АВЗ -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Компьютер перезагрузится

Показывать 40 сообщений этой темы на одной странице