Подозреваю зловреда.

Printable View

03.02.2011, 16:44
Lexus

Подозреваю зловреда.

Комп начал открывать документы по 5-15 минут, зависать при открытии программ, часта ситуация когда 50% процессорного времени занимает процесс "explorer", а оставшиеся 50 например excel. Соответственно ни работать ни могу ни вообще чего либо делать. Переставил оффис - поставил 2007 - все стало еще хуже., откатился на 2003 проблема осталась. Перед сносом системы надо бы убедиться что другими способами проблемы не решить.

P.S. В процессе создания логов несколько файлов были помещены в карантин. Подозреваю что я не зря сюда попал :-)
03.02.2011, 18:21
light59

сделайте лог Gmer [URL="http://virusinfo.info/showthread.php?t=40118"]http://virusinfo.info/showthread.php?t=40118[/URL]
04.02.2011, 13:26
Lexus

лог Gmer

Прилагаю лог. Сканировал с 9 утра и до полвторого :-(
05.02.2011, 05:33
polword

- Сохраните текст ниже как [B][COLOR="DeepSkyBlue"]1.bat[/COLOR][/B] в ту же папку, где находится [B][COLOR="Blue"]8vb7lyrz.exe (GMER)[/COLOR][/B] и запустите этот батник(1.bat):
[CODE]
8vb7lyrz.exe -del service pezuiii
8vb7lyrz.exe -del file "C:\WINDOWS\system32\xqsoqp.dll"
8vb7lyrz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pezuiii"
8vb7lyrz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pezuiii"
8vb7lyrz.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\pezuiii"
8vb7lyrz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\pezuiii"
8vb7lyrz.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\pezuiii"
8vb7lyrz.exe -reboot[/CODE]

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
07.02.2011, 12:48
Lexus

Свежие логи

Логи
07.02.2011, 13:11
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\TEMP\fgtiyuod.sys','');
DeleteService('.sysgikyouueqcqyoocywukayeawsiymaqwaesgoagqesmweqqmqawoekwiygiaoamgiqmeoqagacacmoouckcumoiciqygiugukaywakiiqoyoaekymekokyeswuiuqeawcqamykaskcoauseicuoqoaaacmwcwemwumwwukkkkwigemuc');
QuarantineFile('C:\WINDOWS\system32\.sysgikyouueqcqyoocywukayeawsiymaqwaesgoagqesmweqqmqawoekwiygiaoamgiqmeoqagacacmoouckcumoiciqygiugukaywakiiqoyoaekymekokyeswuiuqeawcqamykaskcoauseicuoqoaaacmwcwemwumwwukkkkwigemuc.sys','');
DeleteFile('C:\WINDOWS\system32\.sysgikyouueqcqyoocywukayeawsiymaqwaesgoagqesmweqqmqawoekwiygiaoamgiqmeoqagacacmoouckcumoiciqygiugukaywakiiqoyoaekymekokyeswuiuqeawcqamykaskcoauseicuoqoaaacmwcwemwumwwukkkkwigemuc.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Пролечитесь [URL="http://support.kaspersky.ru/faq/?qid=208636926"]так[/URL]
- лог работы утилиты прикрепите к сообщению
[QUOTE][B][I]По умолчанию[/I][/B] утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt[/QUOTE]

- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
07.02.2011, 14:37
Lexus

Готово

[B][SIZE=1]Готово[/SIZE][/B]

Карантин отправлен
07.02.2011, 15:13
polword

что с проблемой?
07.02.2011, 15:31
Lexus

[QUOTE=polword;764982]что с проблемой?[/QUOTE]
Переключение между окнами ускорилось до нормального но загрузка процессора колеблется 74-77%. Открытие файлов через проводник происходит с нормальной скоростью, но пользование командой "Открыть" в Excel привело к зависанию. MS Office Outlook восстанавливает файл данных "Личные папки". Пока не могу понять остатки ли это руткита или последствия многократных нештатных завершений задач и переустановок MS Office
07.02.2011, 15:35
polword

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
07.02.2011, 16:25
Lexus

"Часто используемые уязвимости не обнаружены"
В первом логе их было 7.
Спасибо!
08.02.2011, 16:25
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]