При старте Windows появляется System32 который сообщает об ошибке. [not-a-virus:NetTool.Win32.Tor.d, not-a-virus:RiskTool.Win32.BitCoinMiner.bzj ]

Printable View

14.03.2013, 16:50
Denis1234

Вложений: 3

При старте Windows появляется System32 который сообщает об ошибке. [not-a-virus:NetTool.Win32.Tor.d, not-a-virus:RiskTool.Win32.BitCoinMiner.bzj ]

При каждом запуске Windows 7(x32) выдаётся ошибка и указывается сайт hттp://3zz.info а оттуда уже редирект на hттp://woodportent.com . DrWeb_ром чистил,нечего не помогло.
Снизилась работоспособность компьютера.
Пожалуйста помогите)
14.03.2013, 16:51
Info_bot

Уважаемый(ая) [B]Denis1234[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.03.2013, 20:37
Denis1234

Вложений: 1

Вставил в AVZ вот этот скрипт(нашел у людей с похожей проблемой)

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Flash Player SU');
RebootWindows(true);
end.

Перестал высвечиваться System32, но работоспособность компа не изменилась. Очень сильно зависает! После включения комп. примерно минут 5 работает нормально,а потом начинаются дикие лаги. Просто когда открываешь мой компьютер, открывается рывками и т.п.
Помогите плиз!!!
14.03.2013, 21:56
thyrex

Пофиксите в HiJack
[CODE]O4 - HKLM\..\Run: [Adobe Flash Player SU] C:\Windows\System32\cmd.exe /k start http://3zz.info/ && exit[/CODE]Сделайте новый лог
15.03.2013, 03:09
Denis1234

Вложений: 1

[QUOTE=thyrex;982416]Пофиксите в HiJack
[CODE]O4 - HKLM\..\Run: [Adobe Flash Player SU] C:\Windows\System32\cmd.exe /k start http://3zz.info/ && exit[/CODE]Сделайте новый лог[/QUOTE]
При сканировании не был обнаружен такой пункт

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Извините, мне будет оказана помощь или всё же не стоит рассчитывать? :(
15.03.2013, 12:10
Denis1234

ПОМОГИТЕ!!!
15.03.2013, 20:00
thyrex

В логах есть этот пункт. Смотрите внимательно
15.03.2013, 20:45
thyrex

Вы бы верхнюю часть лога показали на скриншоте
15.03.2013, 21:03
Denis1234

Вложений: 1

[QUOTE=thyrex;982925]Вы бы верхнюю часть лога показали на скриншоте[/QUOTE]
вот
15.03.2013, 23:20
thyrex

Что сейчас с проблемой?
16.03.2013, 00:05
Denis1234

[QUOTE=thyrex;982995]Что сейчас с проблемой?[/QUOTE]
Сейчас, когда отключил в автозапуске пункты где написано "нет названия", не зависает. Работает всё нормально.
16.03.2013, 00:21
regist

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url]
16.03.2013, 02:46
Denis1234

Как удалить загруженные файлы из "Менеджер вложений"? Не могу залить.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Я залил сюда [URL="http://us.ua/1065661/"]http://us.ua/1065661/[/URL]
16.03.2013, 11:59
regist

Тулбары, которыми не пользуетесь рекомендую удалить. Плохого ничего не заметил.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
16.03.2013, 23:36
Denis1234

Выполнил этот скрипт. Появился текстовый документ с ссылками, я скачал всё что предлагалось и установил.
[U][B]Ничего не помогло![/B][/U]
Как только я установил новую игру, компьютер опять начал очень сильно тормозить.

Я начал устанавливать драйвера на видео-карту и вот что выдало.
[url]http://s019.radikal.ru/i621/1303/03/3aeef0f60637.jpg[/url]

После этого комп стал более-мение нормально работать, до первой перезагрузки.
Сканировал на вирусы, обнаруживались трояны. Я их удалял, но нечего не помогло.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Ещё в процессах svchost.exe находиться в папке Temp
Завершил процесс svchost.exe и удалил файл из папки Temp, перестало тормозить. После перезагрузки этот файл опять появился.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Выполнил этот скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Больше svchost.exe в процессах не отображается (тот что в C:\Users\Denis\AppData\Local\Temp) Но файл остался.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Блин! Чучуть в инете полазил, этот процесс опять появился... Уже не знаю что делать :(:(:(
17.03.2013, 00:01
regist

сделайте новый набор логов.
17.03.2013, 01:12
Denis1234

Вложений: 3

Есть
17.03.2013, 01:37
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\denis\appdata\local\temp\msvdn.exe');
QuarantineFile('c:\users\denis\appdata\local\temp\msvdn.exe','');
QuarantineFile('C:\Users\Denis\AppData\Local\Temp\svchost.exe','');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

- Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=125-page-uploadclean][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
17.03.2013, 02:28
Denis1234

Всё сделал.
Отослал запрошенный карантин.
Вот [URL="http://rghost.ru/44557294"]http://rghost.ru/44557294[/URL] полный образ автозапуска uVS

Результат загрузки:

Файл сохранён как 130316_222139_virusinfo_files_DENIS-PK_5144f07392b65.zip
Размер файла 8733912
MD5 32936055f9f50adccf15a594babde6ef
17.03.2013, 12:15
regist

c:\users\denis\appdata\local\temp\msvdn.exe - [COLOR="#FF0000"]not-a-virus:NetTool.Win32.Tor.d[/COLOR]
C:\Users\Denis\AppData\Local\Temp\svchost.exe - [COLOR="#FF0000"]not-a-virus:RiskTool.Win32.BitCoinMiner.bzj[/COLOR]

эти программы вы устанавливали ?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+ какие-нибудь плагины для скачивания в IE вы используете ?

[CODE]C:\PROGRAMDATA\BERAOYWSE2SAVE\5143375DABF7B.DLL[/CODE]
вам знакомо ?
17.03.2013, 14:28
Denis1234

[QUOTE=regist;983562]c:\users\denis\appdata\local\temp\msvdn.exe - [COLOR="#FF0000"]not-a-virus:NetTool.Win32.Tor.d[/COLOR]
C:\Users\Denis\AppData\Local\Temp\svchost.exe - [COLOR="#FF0000"]not-a-virus:RiskTool.Win32.BitCoinMiner.bzj[/COLOR]

эти программы вы устанавливали ?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+ какие-нибудь плагины для скачивания в IE вы используете ?

[CODE]C:\PROGRAMDATA\BERAOYWSE2SAVE\5143375DABF7B.DLL[/CODE]
вам знакомо ?[/QUOTE]
Не понял,какие программы?
IE - это Internet Explorer? Ним я вообще не пользуюсь.
То что в коде мне вроде не знакомо.
17.03.2013, 14:49
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('c:\users\denis\appdata\local\temp\msvdn.exe');
QuarantineFileF('C:\ProgramData\BeraoywsE2save\','*', true,'',0 ,0);
DeleteFile('C:\PROGRAMDATA\BERAOYWSE2SAVE\5143375DABF7B.DLL');
DeleteFile('C:\Users\Denis\AppData\Local\Temp\svchost.exe');
DeleteFile('c:\users\denis\appdata\local\temp\msvdn.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]_syscheck.zip;hijackthis.log[/color])

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

что с проблемой ?
17.03.2013, 15:19
Denis1234

Вложений: 2

Ничего не изменилось. Тормозит как и раньше.
17.03.2013, 15:30
regist

[CODE]c:\progra~1\browse~1\sprote~1.dll[/CODE]

Пришлите в карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

проверьте работу компьютера в безопасном режиме.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+ воспользуйтесь [URL="http://virusinfo.info/content.php?r=290-virus-detector"]этим[/URL] сервисом, ссылку на отчёт проверки напишите здесь.
18.03.2013, 18:17
Denis1234

Запустил компьютер в безопасном режиме и проверил DrWeb_ом. Нашел каких то 16 объектов. Я их все удалил и теперь никаких проблем нет.
Спасибо!)
18.03.2013, 18:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\denis\\appdata\\local\\temp\\msvdn.exe - [B]not-a-virus:NetTool.Win32.Tor.d[/B][*] c:\\users\\denis\\appdata\\local\\temp\\svchost.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.bzj[/B] ( DrWEB: Trojan.BtcMine.66, BitDefender: Trojan.Generic.KDV.760200, AVAST4: Win32:Malware-gen )[/LIST][/LIST]