Проверил CureIt, нашел несколько вирусов, но проблема осталась. Компьютер сильно тупит.
Printable View
Проверил CureIt, нашел несколько вирусов, но проблема осталась. Компьютер сильно тупит.
Профиксить:
[CODE]F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
[/CODE]
Выполнить скрипт:
[CODE]begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('C:\WINDOWS\system32\sejurogyt.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\dooca.exe','');
QuarantineFile('C:\WINDOWS\system32\jouttorareb.exe','');
QuarantineFile('C:\WINDOWS\system32\quynoute.exe','');
DeleteService('dyvoyejse7ed');
QuarantineFile('c:\windows\system32\wawoul.exe','');
DeleteFile('c:\windows\system32\wawoul.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\dooca.exe');
DeleteFile('C:\WINDOWS\system32\sejurogyt.exe');
DeleteFile('C:\autorun.wsh');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать заново логи.
Прислать карантин по Правилам.
Вот
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\test\DoctorWeb\Quarantine\vxohau.cmd','');
QuarantineFile('fusstub.dll','');
QuarantineFile('C:\WINDOWS\system32\sejurogyt.exe','');
QuarantineFile('C:\WINDOWS\system32\fygi.exe','');
QuarantineFile('C:\WINDOWS\qgfkpog.aux','');
DeleteService('sedyuuievewy0a');
SetServiceStart('pwl2inyuienb', 4);
DeleteService('pwl2inyuienb');
TerminateProcessByName('c:\windows\system32\quynoute.exe');
QuarantineFile('c:\windows\system32\quynoute.exe','');
TerminateProcessByName('c:\documents and settings\test\application data\microsoft\doopahettid.exe');
QuarantineFile('c:\documents and settings\test\application data\microsoft\doopahettid.exe','');
DeleteFile('c:\documents and settings\test\application data\microsoft\doopahettid.exe');
DeleteFile('c:\windows\system32\quynoute.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1989867367-1470310274-3491535484-1008\Software\Microsoft\Windows\CurrentVersion\Run','quoobyzou');
DeleteFile('C:\WINDOWS\qgfkpog.aux');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux');
DeleteFile('C:\WINDOWS\system32\fygi.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wiloowe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','quoobyzou');
DeleteFile('C:\WINDOWS\system32\sejurogyt.exe');
DeleteFile('C:\Documents and Settings\test\DoctorWeb\Quarantine\vxohau.cmd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Карантин загрузил.
Логи получились только avz и hijack
gmer при экспресс проверке отваливается.
В журнале событий windows
[HTML]Тип события: Ошибка
Источник события: Application Error
Категория события: Отсутствует
Код события: 1000
Дата: 27.12.2009
Время: 11:27:09
Пользователь: Н/Д
Компьютер: NOUTE
Описание:
Ошибка приложения gvgcqnbi.exe, версия 1.0.15.15281, модуль gvgcqnbi.exe, версия 1.0.15.15281, адрес 0x0005c887.
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 67 76 67 ure gvg
0018: 63 71 6e 62 69 2e 65 78 cqnbi.ex
0020: 65 20 31 2e 30 2e 31 35 e 1.0.15
0028: 2e 31 35 32 38 31 20 69 .15281 i
0030: 6e 20 67 76 67 63 71 6e n gvgcqn
0038: 62 69 2e 65 78 65 20 31 bi.exe 1
0040: 2e 30 2e 31 35 2e 31 35 .0.15.15
0048: 32 38 31 20 61 74 20 6f 281 at o
0050: 66 66 73 65 74 20 30 30 ffset 00
0058: 30 35 63 38 38 37 0d 0a 05c887..[/HTML]
Через несколько минут BSOD
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\byvapynem.exe','');
QuarantineFile('c:\windows\system32\jouttorareb.exe','');
TerminateProcessByName('c:\windows\system32\jouttorareb.exe');
DeleteFile('c:\windows\system32\jouttorareb.exe');
DeleteFile('C:\WINDOWS\system32\byvapynem.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kocoo');
DeleteFile('C:\WINDOWS\system32\sejurogyt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','quoobyzou');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
В карантине пусто
логи выкладываю, gmer так и закрывается с ошибкой
И еще...
В оснастке Службы висит какой-то ICF без описания, состояние отключено, исполняемый файл C:\WINDOWS\system32\svchost.exe:exe.exe
вроде его CureIt удалил, но в оснастке остатки какие то висят.
И я хоть те логи кидаю? всмысли мне их кидать сразу после вашего скрипта или после вашего скрипта опять выполнять стандартные скрипты № 2 и 3
P.S.
Загрузка процессора 100% процессом System
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\test\application data\microsoft\dooca.exe');
DeleteFile('C:\Documents and Settings\test\Application Data\Microsoft\sejurogyt.exe');
DeleteFile('C:\Documents and Settings\test\Application Data\Microsoft\dooca.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1989867367-1470310274-3491535484-1008\Software\Microsoft\Windows\CurrentVersion\Run','wiloowe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1989867367-1470310274-3491535484-1008\Software\Microsoft\Windows\CurrentVersion\Run','quoobyzou');
DeleteFile('c:\documents and settings\test\application data\microsoft\dooca.exe');
BC_DeleteFile('c:\documents and settings\test\application data\microsoft\dooca.exe');
BC_DeleteFile('C:\Documents and Settings\test\Application Data\Microsoft\sejurogyt.exe');
BC_DeleteFile('C:\Documents and Settings\test\Application Data\Microsoft\dooca.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url]
Сделайте новые логи.
Скрипт выполнил.
Логи новые сделал
Скачал заного gmer и запустил от имени администратора. Он опять закрылся с ошибкой:
[HTML]Тип события: Ошибка
Источник события: Application Error
Категория события: Отсутствует
Код события: 1000
Дата: 28.12.2009
Время: 2:02:04
Пользователь: Н/Д
Компьютер: NOUTE
Описание:
Ошибка приложения h78ixmos.exe, версия 1.0.15.15281, модуль h78ixmos.exe, версия 1.0.15.15281, адрес 0x0005c887.
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 68 37 38 ure h78
0018: 69 78 6d 6f 73 2e 65 78 ixmos.ex
0020: 65 20 31 2e 30 2e 31 35 e 1.0.15
0028: 2e 31 35 32 38 31 20 69 .15281 i
0030: 6e 20 68 37 38 69 78 6d n h78ixm
0038: 6f 73 2e 65 78 65 20 31 os.exe 1
0040: 2e 30 2e 31 35 2e 31 35 .0.15.15
0048: 32 38 31 20 61 74 20 6f 281 at o
0050: 66 66 73 65 74 20 30 30 ffset 00
0058: 30 35 63 38 38 37 0d 0a 05c887..
[/HTML]
Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=58309[/url]
Целая история с запуском ComboFix была, но я ее наверно описывать не буду. Вот в общем еле как получил лог.
Системе после фикса стало полегче уже))
Скопируйте текст ниже [B]в блокнот[/B] и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
Временно выключите антивирус, firewall и другое защитное программное обеспечение
[CODE]
KillAll::
File::
Driver::
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2541:TCP"-
FileLook::
DirLook::
[/CODE]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
QuarantineFile('c:\windows\system32\autorun.bin','');
QuarantineFile('C:\iperf.exe','');
QuarantineFile('c:\windows\system32\dooca.exe','');
end.
[/code]
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Скрипт выполнил, лог прикрепляю. Карантин отправил.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ImportDeletedList;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\nyovqehk');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet002\Services\nyovqehk');
DeleteFile('c:\windows\system32\dooca.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Cдалаете логи avz+лог gmer.
Скрипт выполнил. Логи только AVZ, с Gmer не получается. Зато он уже запускается, и проходит автоматическая экспресс-проверка. Дальше жму Scan, он проверяет, проверяет и потом на Device\porte40 (или как-то так) вылазиет ошибка с отчетом:
[HTML]Тип события: Ошибка
Источник события: Application Error
Категория события: Отсутствует
Код события: 1000
Дата: 02.01.2010
Время: 13:04:07
Пользователь: Н/Д
Компьютер: NOUTE
Описание:
Ошибка приложения h78ixmos.exe, версия 1.0.15.15281, модуль h78ixmos.exe, версия 1.0.15.15281, адрес 0x0000c4b1.
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 68 37 38 ure h78
0018: 69 78 6d 6f 73 2e 65 78 ixmos.ex
0020: 65 20 31 2e 30 2e 31 35 e 1.0.15
0028: 2e 31 35 32 38 31 20 69 .15281 i
0030: 6e 20 68 37 38 69 78 6d n h78ixm
0038: 6f 73 2e 65 78 65 20 31 os.exe 1
0040: 2e 30 2e 31 35 2e 31 35 .0.15.15
0048: 32 38 31 20 61 74 20 6f 281 at o
0050: 66 66 73 65 74 20 30 30 ffset 00
0058: 30 30 63 34 62 31 0d 0a 00c4b1..
[/HTML]
Метку с Devices уберите перед созданием лога gmer и попробуйте еще раз
Вроде получилось
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
[CODE]
h78ixmos.exe -del file "C:\WINDOWS\system32\duirb.dll"
h78ixmos.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nyovqehk"
h78ixmos.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\nyovqehk"
h78ixmos.exe -reboot
[/CODE]
Сделайте новый лог gmer.
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\muis\svchost.exe','');
end.[/code]
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте лог gmer.
Все выполнил, вот лог и карантин.
Выполните скрипт в avz
[code]begin
DeleteFile('C:\WINDOWS\muis\svchost.exe');
RebootWindows(true);
ExecuteSysClean;
end.[/code]
ПК перезагрузится.
Сделаете лог gmer+логи avz.
Фуф, вот новые логи
Чисто.Что с проблемой ?
После 12-го поста стало работать хорошо ))) спасибо большое.
Всех с наступившим НГ :xmas:
Не прошло и ....
Опять процесс System на 100%, может это и не вирус, но все же прошу посмотреть, а то может тоже самое поймал (((
Ничего необычного
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]40[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\muis\svchost.exe - [B]Worm.Win32.Agent.zx[/B] ( DrWEB: Trojan.MulDrop.33006, BitDefender: Trojan.Generic.2901486, AVAST4: Win32:Malware-gen )[/LIST][/LIST]