Проблема с процессами

Printable View

21.09.2010, 15:16
pi2ox

Проблема с процессами

Рабочее состояние компьютера нормальное примерно 3 часа, после начинаются подвисания и под конец компьютер зависает.
21.09.2010, 15:36
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows.0\system32\wuaucldt.exe');
QuarantineFile('C:\WINDOWS.0\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\DOCUME~1\HY6KO~1.MIC\LOCALS~1\Temp\330979.exe','');
QuarantineFile('C:\RECYCLER.lnk','');
QuarantineFile('C:\WINDOWS.0\System32\ikmilbnh.exe','');
QuarantineFile('C:\WINDOWS.0\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS.0\system32\regedit.exe','');
QuarantineFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe','');
QuarantineFile('C:\WINDOWS.0\system32\wuaucldt.exe','');
QuarantineFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\ctfmon.exe','');
QuarantineFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\wuaucldt.exe','');
DeleteFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\wuaucldt.exe');
DeleteFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\ctfmon.exe');
DeleteFile('C:\WINDOWS.0\system32\wuaucldt.exe');
DeleteFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteFile('C:\WINDOWS.0\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS.0\System32\ikmilbnh.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ikmilbnh');
DeleteFile('C:\RECYCLER.lnk');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Recycler');
DeleteFile('C:\DOCUME~1\HY6KO~1.MIC\LOCALS~1\Temp\330979.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svhost');
QuarantineFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\Application Data\szdx.exe','');
DeleteFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\Application Data\szdx.exe');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-74CC3A187132');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
21.09.2010, 16:28
pi2ox

Работа компьютера нормальная, пока не замечено не одного сбоя. В безопасном режиме синий экран, стали появляться процессы rundll32.exe
21.09.2010, 16:36
olejah

Логи АВЗ делаются или Вы забыли их приложить?
21.09.2010, 19:17
pi2ox

Извиняюсь=) :>
21.09.2010, 21:54
thyrex

C:\WINDOWS.0\system32\Drivers\NDIS.sys и C:\WINDOWS.0\System32\userinit.exe замените чистыми с дистрибутива

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\drivers\win32x.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\cdrom.sys','');
QuarantineFile('C:\WINDOWS.0\system32\Drivers\mrxnet.sys','');
QuarantineFile('C:\WINDOWS.0\system32\Drivers\mrxcls.sys','');
DeleteFile('C:\WINDOWS.0\system32\drivers\win32x.sys');
DeleteFile('C:\WINDOWS.0\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
21.09.2010, 23:58
pi2ox

Хмм странно файл userinit.exe не нашел=( Вообще в системке нету=( и еще заметил что у меня два NDIS.sys удалить только один?=)

[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]

Извиняюсь=) Нашел=)
22.09.2010, 00:52
pi2ox

Карантин залил=)
22.09.2010, 06:59
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe');
DeleteFile('C:\WINDOWS.0\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS.0\system32\Drivers\mrxnet.sys');
DeleteFile('C:\WINDOWS.0\system32\Drivers\mrxcls.sys');
DeleteFile('C:\WINDOWS.0\system32\drivers\win32x.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Сделайте новые логи

- Файлы [B]C:\WINDOWS.0\system32\DRIVERS\cdrom.sys[/B] и [B]C:\WINDOWS.0\system32\Drivers\NDIS.sys[/B] надо заменить чистыми с [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL]
22.09.2010, 13:23
pi2ox

Вроде все=)
22.09.2010, 14:37
olejah

Что с проблемой?
22.09.2010, 19:24
pi2ox

Проблема решена помоему=) Компьютер не подвисает=) Огромное спасибо=)
22.09.2010, 19:39
olejah

Рекомендуется -

- Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
23.09.2010, 19:39
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]43[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\hy6ko.microsof-c4e986\\application data\\szdx.exe - [B]Trojan-Downloader.Win32.FraudLoad.haz[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.37690, NOD32: Win32/Bflient.K worm, AVAST4: Win32:MalOb-CS [Cryp] )[*] c:\\documents and settings\\hy6ko.microsof-c4e986\\ctfmon.exe - [B]P2P-Worm.Win32.Palevo.fuc[/B] ( DrWEB: Trojan.Packed.20312, BitDefender: Gen:Variant.Rimecud.1, AVAST4: Win32:Crumpache [Cryp] )[*] c:\\documents and settings\\hy6ko.microsof-c4e986\\wuaucldt.exe - [B]Trojan.Win32.Pincav.agkq[/B] ( DrWEB: BackDoor.Bulknet.510, BitDefender: Trojan.Inject.IA, AVAST4: Win32:Cutwail-AN [Trj] )[*] c:\\recycler.lnk - [B]Exploit.Win32.CVE-2010-2568.gen[/B] ( DrWEB: Exploit.Cpllnk, BitDefender: Exploit.CplLnk.Gen, NOD32: LNK/Exploit.CVE-2010-2568 trojan, AVAST4: LNK:Runner )[*] c:\\system\\g-923-321232-3232-32211-23\\memory.exe - [B]Packed.Win32.Krap.at[/B] ( DrWEB: Trojan.MulDrop.47709, BitDefender: Trojan.Generic.1941656, NOD32: Win32/AutoRun.VB.CJ worm, AVAST4: Win32:Regrun-GK [Trj] )[*] c:\\windows.0\\system32\\drivers\\cdrom.sys - [B]Virus.Win32.Protector.h[/B] ( DrWEB: BackDoor.Bulknet.508, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.N virus, AVAST4: Win32:Cutwail-AP [Rtk] )[*] c:\\windows.0\\system32\\drivers\\mrxcls.sys - [B]Rootkit.Win32.Stuxnet.a[/B] ( DrWEB: Trojan.Stuxnet.1, BitDefender: Rootkit.Stuxnet.A, NOD32: Win32/Stuxnet.A worm, AVAST4: Win32:Duqu-K [Rtk] )[*] c:\\windows.0\\system32\\drivers\\mrxnet.sys - [B]Rootkit.Win32.Stuxnet.b[/B] ( DrWEB: Trojan.Stuxnet.1, BitDefender: Rootkit.Stuxnet.A, NOD32: Win32/Stuxnet.A worm, AVAST4: Win32:Stuxnet [Rtk] )[*] c:\\windows.0\\system32\\drivers\\ndis.sys - [B]Virus.Win32.Protector.f[/B] ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )[*] c:\\windows.0\\system32\\drivers\\win32x.sys - [B]Trojan-Mailfinder.Win32.Agent.th[/B] ( DrWEB: Trojan.NtRootKit.1601, BitDefender: Trojan.Generic.754175, NOD32: Win32/SpamTool.Agent.NBP trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows.0\\system32\\ikmilbnh.exe - [B]Trojan-Downloader.Win32.FraudLoad.haz[/B] ( DrWEB: Trojan.Proxy.14858, BitDefender: Trojan.Generic.5099520, NOD32: Win32/Wigon.KQ trojan, AVAST4: Win32:Crypt-HPM [Trj] )[*] c:\\windows.0\\system32\\userinit.exe - [B]Trojan-Spy.Win32.Zbot.arsd[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.39711, AVAST4: Win32:MalOb-CS [Cryp] )[*] c:\\windows.0\\system32\\wuaucldt.exe - [B]Trojan.Win32.Pincav.agkq[/B] ( DrWEB: BackDoor.Bulknet.510, BitDefender: Trojan.Inject.IA, AVAST4: Win32:Cutwail-AN [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]