Здравствуйте. Страшно тормозит интернет, на диске С постоянно восстанавливается файл xdx, кроме того в папке system32 появляются подозрительные объекты.
Printable View
Здравствуйте. Страшно тормозит интернет, на диске С постоянно восстанавливается файл xdx, кроме того в папке system32 появляются подозрительные объекты.
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\ggdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\x','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8169296727-0993728699-057716359-7739\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2042770375-4116900550-764899795-9618\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4220561970-5376557010-845583348-2247\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1563281817-9816936920-539358370-2915\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8145584487-9387178318-299676947-6034\syscr.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\portmap.exe','');
QuarantineFile('C:\Documents and Settings\Женя\Application Data\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew2.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe','');
QuarantineFile('C:\Program Files\plugin.exe','');
QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
QuarantineFile('C:\Documents and Settings\Женя\Local Settings\Temporary Internet Files\Content.IE5\WVW5GR8Z\felix-light[1].exe','');
QuarantineFile('C:\DOCUME~1\96EC~1\LOCALS~1\Temp\idemoddp0deaka.exe','');
QuarantineFile('c:\windows\ggdrive32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8169296727-0993728699-057716359-7739\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2042770375-4116900550-764899795-9618\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4220561970-5376557010-845583348-2247\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1563281817-9816936920-539358370-2915\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8145584487-9387178318-299676947-6034\syscr.exe');
DeleteFile('C:\Documents and Settings\Женя\Application Data\ltzqai.exe');
DeleteFile('c:\windows\ggdrive32.exe');
DeleteFile('C:\DOCUME~1\96EC~1\LOCALS~1\Temp\idemoddp0deaka.exe');
DeleteFile('C:\Documents and Settings\Женя\Local Settings\Temporary Internet Files\Content.IE5\WVW5GR8Z\felix-light[1].exe');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
DeleteFile('C:\Program Files\plugin.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew2.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\system32\portmap.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFileMask('C:\Program Files\pchd','*.*', true);
DeleteDirectory('C:\Program Files\pchd');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Felix');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tjii321');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tjpp2');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo3');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew2');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psuu4');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','puda4');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall Security Service');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(8);
ExecuteWizard('TSW',2,3,true);
WhatService('qiaknxla');
WhatService('rmsnnjn');
SaveLog(GetAVZDirectory+'avz.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Обязательно обновите базы AVZ.
Сделайте повторные логи.
Приложите файл avz.log из папки AVZ к следующему сообщению.
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
Сделал:
[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все найденное и предоставьте повторный лог
Также сделайте новые логи AVZ и HiJack
Новые логи:
Систему обновите, иначе самоходный червь снова проползет
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zschgy.dll','');
DeleteFile('C:\WINDOWS\system32\zschgy.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Логи
Проблема решена?
Кажется, да. Большое спасибо за помощь
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]49[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - [B]Trojan.Win32.Menti.bbm[/B] ( DrWEB: Trojan.DownLoader2.7745, BitDefender: Trojan.Generic.KDV.414916, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\ggdrive32.exe - [B]Net-Worm.Win32.Kolab.ufn[/B] ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.5538472, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\x - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.Z worm, AVAST4: Win32:Confi [Wrm] )[/LIST][/LIST]