Компьютер стал медленно работать, в том числе и интернет, нет доступа на сайты связанные с комп. безопастностью. В процессах появились новые апликации exe.
Dr.Web не нашел ничего.
Выкладываю логи.
Printable View
Компьютер стал медленно работать, в том числе и интернет, нет доступа на сайты связанные с комп. безопастностью. В процессах появились новые апликации exe.
Dr.Web не нашел ничего.
Выкладываю логи.
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\system32\18.scr','');
QuarantineFile('F:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('F:\WINDOWS\system32\syre32.exe','');
QuarantineFile('F:\WINDOWS\system32\drivers\Instmsi.exe','');
QuarantineFile('F:\WINDOWS\jjdrive32.exe','');
QuarantineFile('F:\RECYCLER\S-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe','');
QuarantineFile('F:\Program Files\n52te\n52teHid.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('F:\Documents and Settings\Admin\Application Data\Mikogo\B-Service.exe','');
QuarantineFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\mc22.tmp','');
QuarantineFile('F:\WINDOWS\SnoopFreeDll.dll','');
QuarantineFile('f:\windows\system32\snoopfreesvc.exe','');
QuarantineFile('f:\windows\jjdrive32.exe','');
TerminateProcessByName('f:\windows\jjdrive32.exe');
QuarantineFile('f:\windows\system32\drivers\instmsi.exe','');
TerminateProcessByName('f:\windows\system32\drivers\instmsi.exe');
QuarantineFile('f:\program files\common files\adobearms.exe','');
QuarantineFile('f:\docume~1\admin\locals~1\temp\451.exe','');
TerminateProcessByName('f:\docume~1\admin\locals~1\temp\451.exe');
DeleteFile('f:\docume~1\admin\locals~1\temp\451.exe');
DeleteFile('f:\windows\system32\drivers\instmsi.exe');
DeleteFile('f:\windows\jjdrive32.exe');
DeleteFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\mc22.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe');
DeleteFile('F:\WINDOWS\jjdrive32.exe');
DeleteFile('F:\WINDOWS\system32\drivers\Instmsi.exe');
DeleteFile('F:\WINDOWS\system32\syre32.exe');
DeleteFile('F:\WINDOWS\system32\umdmgr.exe');
DeleteFile('F:\WINDOWS\system32\18.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Карантин загрузил, выкладываю логи. Gmer скан два раза сорвался, экран становился синним, появлялись нечитабельные знаки кроме "stop" и где-то дальше "Windows logon process"
КидоКиллером надо провериться [url]http://support.kaspersky.ru/faq/?qid=208636215[/url]
КидоКиллер сработал, теперь есть доступ на сайты связанные с комп. безопастностью.
Что нужно еще проверить?
Надо логи повторить, полный комплект.
Выкладываю новые логи.
Следующая пачка:
Профиксить:
[CODE]O4 - HKLM\..\Run: [patches] 1[/CODE]
потом скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\RECYCLER\S-1-5-21-0249335051-3512211965-849074213-6867\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('f:\windows\cidrive32.exe','');
DeleteFile('f:\windows\cidrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-0249335051-3512211965-849074213-6867\syscr.exe');
DeleteFile('F:\WINDOWS\cidrive32.exe');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Логи потом повторите.
Сделал то что написали выше, сделал логи которые и выкладываю, но после снова не мог зайти не сайт. Запустил опять КидоКиллер, он снова что-то нашел, вроде уничтожил. Доступ на сайт снова есть.
Вот логи которые сделал после чего воспользовался КидоКиллером.
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]!!!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [patches] 1
O9 - Extra button: (no name) - DctMapping - (no file)[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('f:\windows\system32\msvmcls64.exe');
TerminateProcessByName('f:\program files\common files\adobearms.exe');
DeleteFile('f:\program files\common files\adobearms.exe');
DeleteFile('f:\windows\system32\msvmcls64.exe');
DeleteFile('F:\WINDOWS\system32\22.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог [URL="http://virusinfo.info/showthread.php?t=53070"]mbam[/URL]
Выполнил все, выкладываю новые логи.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\d34b1731.exe,\\?\globalroot\systemroot\system32\g7jeqAN.exe,
[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\system32\d34b1731.exe','');
QuarantineFile('F:\WINDOWS\system32\drivers\SnopFree.sys','');
QuarantineFile('\\?\globalroot\systemroot\system32\g7jeqAN.exe','');
QuarantineFile('F:\RECYCLER\S-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe','');
QuarantineFile('F:\WINDOWS\system32\mshost.exe','');
DeleteFile('F:\WINDOWS\system32\76.scr');
DeleteFile('F:\WINDOWS\system32\mshost.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe');
DeleteFile('\\?\globalroot\systemroot\system32\g7jeqAN.exe');
DeleteFile('F:\WINDOWS\system32\drivers\Instmsi.exe');
DeleteFile('F:\WINDOWS\system32\d34b1731.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Просканируйте системные диски AVPTool. После сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
Обновления безопасности стоят на системе?
+ к [B]Павлу[/B] и [B]DefesT[/B]
Сделайте такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Имеется в виду автоматические обновление Windows XP или что-то другое?
[QUOTE='DMTR;599718']Имеется в виду автоматические обновление Windows XP или что-то другое?[/QUOTE]Имеется в виду, установлены ли у Вас все обновления для системы, вышедшие после SP3. Если автоматическое обновление включено, они должны приходить к Вам автоматически
Ответьте на вопрос + выполните скрипт из сообщения №13 + лог ComboFix сделайте
Выполнил все прописали выше, AVPTool нашел около 30 зараженных файлов. Я выбирал удаление или лечение в завимости от рекомендаций программы.
Загрузил карантин.
Выкладываю логи в том числе и ComboFix.
Автоматическое обновление отключено, на компьютере стоит Windows XP SP3.
[QUOTE='DMTR;599800']Автоматическое обновление отключено, на компьютере стоит Windows XP SP3.[/QUOTE] Заплатки безопасности все рано надо ставить.
Лог комбофикс делали после AVPTool или нет?
Как установить заплатки безопасности?
Лог комбофикс делал после чего прошелся AVPTool.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
f:\windows\system32\tOqFvkP.exe
f:\windows\system32\T2LiWh9.exe
f:\windows\system32\oj1pu3l.exe
Driver::
lkffcpjq
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6591:TCP"=-
NetSvc::
lkffcpjq
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Выполнил, выкладываю новый лог комбофикс.
Что с проблемой на данный момент?
[QUOTE='DMTR;599817']Как установить заплатки безопасности?[/QUOTE]Посетить [url]http://update.microsoft.com[/url]
Установил все заплатки безопасности.
Сейчас из подозрительных симптомов наблюдается медленная загрузка всех страниц в браузере, включая эту и девять процессов svchost.exe в дисптечере задач.
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Выполнил.
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 34 минуты[/I][/B][/color][/size]
Сейчас заметил что консоль после комбофикс не удалось удалить, хотя пробовал и ручным методом тоже. Не дает удалять эти файлы.
Интернет продолжает лагать, периодически ни один сайт не грузиться, иногда со второго раза только срабатывает.
[QUOTE='DMTR;600041']Сейчас заметил что консоль после комбофикс не удалось удалить[/QUOTE][url]http://technet.microsoft.com/ru-ru/library/cc778866(WS.10).aspx[/url]
Не удается удалить файлы из папки cmdcons, пишет "нет доступа. Диск может быть переполнен или защищен от записи, либо файл занят другим приложением."
Попробуйте сначала выполнить пп. 8 - 12, перезагрузиться и пробовать выполнить остальное
Сделал изменения в файле Файл Boot.ini и при загрузке не появлялся экран связанный с этой консолью, но когда пытаюсь стереть cmdcons, получаю то же оповещение что и выше.
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 56 минут[/I][/B][/color][/size]
Хотел выложить стандартные логи, чтобы посмотрели, так как процесс лечение заглох, но на последнем пункте - исследование системы AVZ остановился и не смог завершить сбор информации.
Попробуйте удалить папку в безопасном режиме
Не удается это сделать и в безопасном режиме, получаю то же самое сообщение.
На сколько важно для безопасноти компьютреа удаление этого файла?
Пробуем
Скачайте [url=http://oldtimer.geekstogo.com/OTM.exe]OTM by OldTimer[/url] и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
[url=http://www.bleepingcomputer.com/forums/topic114351.html]временно выключите антивирус, firewall и другое защитное программное обеспечение[/url]. Выделите и скопируйте текст ниже (Ctrl+C)
[code]
:Processes
explorer.exe
:Services
:Files
C:\Cmdcons
:Reg
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
[/code]
В OTM под панелью [b]"Paste Instructions for Items to be Moved"[/b] (под [color=yellow][b]желтой[/b][/color] панелью) вставьте скопированный текст и нажмите кнопку [b]"MoveIt!"[/b].
[B][I]Компьютер перезагрузится.[/I][/B]
После перезагрузки откройте папку [b]"C:\_OTM\MovedFiles"[/b], найдите последний .log файл (лог в формате [b]mmddyyyy_hhmmss.log[/b]), откройте и скопируйте текст из него в следующее сообщение.
После чего я дал согасие на перезагрузку в конце процесса, пару минут ничего не происхдило, пришлось выключить компьютер.
Файл по преженму на месте вот инфа из лога
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
Folder move failed. C:\cmdcons scheduled to be moved on reboot.
========== REGISTRY ==========
========== COMMANDS ==========
[EMPTYTEMP]
User: Admin
->Temp folder emptied: 60789323 bytes
->Temporary Internet Files folder emptied: 4339743 bytes
->Java cache emptied: 26434741 bytes
->FireFox cache emptied: 59324764 bytes
->Google Chrome cache emptied: 331903497 bytes
->Apple Safari cache emptied: 16075206 bytes
->Flash cache emptied: 167726 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: hm
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: holdemmanager
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 59794 bytes
User: postgres
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2514792 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 108773 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 479.00 mb
OTM by OldTimer - Version 3.1.10.0 log created on 03092010_213331
Попробуйте зайти под встроенным Администратором, дать соответствующие права на папку и пробуйте удалить
Если в английском сильны, смотрите [url]http://www.techspot.com/vb/topic135243.html[/url]
Удалось удалить. Что дальше делать?
Следов вирусов не оставалось больше. Лечение можно считать оконченным.
Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/URL]
Установите [URL="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/URL] или удалите старый
К сожаленю по прежнему есть некоторые проблемные симтомы. Хотя интернет работает нормально, но ZoneAlarm не смог установить и нормально перегрузиться тоже не получается, меню Пуск застывает, хотя при этом компьютер не зависает.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 28 минут[/I][/B][/color][/size]
Все работает, всем спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]62[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe - [B]P2P-Worm.Win32.Palevo.rmm[/B] ( DrWEB: Win32.HLLW.Lime.187, BitDefender: Worm.Generic.227674, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )[*] f:\docume~1\admin\locals~1\temp\451.exe - [B]Trojan-Downloader.Win32.VB.vqj[/B] ( DrWEB: Trojan.Inject.8417 )[*] f:\program files\common files\adobearms.exe - [B]Backdoor.Win32.Rbot.aiqk[/B][*] f:\recycler\s-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe - [B]P2P-Worm.Win32.Palevo.wde[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.231268, AVAST4: Win32:Malware-gen )[*] f:\recycler\s-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe - [B]P2P-Worm.Win32.Palevo.wde[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.231268, AVAST4: Win32:Malware-gen )[*] f:\windows\jjdrive32.exe - [B]Net-Worm.Win32.Kolab.gsn[/B] ( DrWEB: Trojan.MulDrop1.4886, BitDefender: Gen:Heur.VB.Krypt.12, AVAST4: Win32:Malware-gen )[*] f:\windows\system32\drivers\instmsi.exe - [B]Trojan.Win32.Agent.dlqs[/B] ( DrWEB: BackDoor.IRC.Bot.173, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )[*] f:\windows\system32\d34b1731.exe - [B]Trojan.Win32.Small.cia[/B] ( DrWEB: Trojan.MulDrop.64715 )[*] f:\windows\system32\mshost.exe - [B]Backdoor.Win32.Agobot.qzp[/B] ( DrWEB: Trojan.Packed.19664, BitDefender: Trojan.Generic.3202159, AVAST4: Win32:Malware-gen )[*] f:\windows\system32\18.scr - [B]Trojan.Win32.Agent.dlqs[/B] ( DrWEB: BackDoor.IRC.Bot.173, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )[*] \\?\globalroot\systemroot\system32\g7jeqan.exe - [B]Trojan.Win32.Agent.dnrw[/B] ( DrWEB: Trojan.Siggen1.7663, NOD32: Win32/Spy.Shiz.NAK trojan )[/LIST][/LIST]