Подменен диспетчер задач, проблемы с интернетом

Printable View

05.09.2010, 12:09
Samplitude

Подменен диспетчер задач, проблемы с интернетом

Что-то блокирует доступ в интернет, поменяло мне диспетчер задач, касперский деактивирован. Что делать?!!
05.09.2010, 12:14
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\a441e9qy.SYS','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\Кирилл\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\14.scr','');
QuarantineFile('C:\WINDOWS\system32\74.scr','');
DeleteFile('C:\WINDOWS\system32\74.scr');
DeleteFile('C:\WINDOWS\system32\14.scr');
DeleteFile('C:\Documents and Settings\Кирилл\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи + - Скачайте [URL="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([B]RSIT[/B]) в корне системного диска.
05.09.2010, 12:52
Samplitude

все сделал. Логи прикрепил. карантин выслал.
05.09.2010, 13:03
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\e1u2c2f3u7b4.exe');
QuarantineFile('c:\e1u2c2f3u7b4.exe','');
TerminateProcessByName('c:\windows\system32\zsorm.exe');
QuarantineFile('C:\WINDOWS\system32\Zsorm.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctljystk.sys','');
QuarantineFile('C:\WINDOWS\system32\61.exe','');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\Documents and Settings\Кирилл\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\54.scr');
DeleteFile('C:\WINDOWS\system32\Zsorm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи АВЗ + логи RSIT
05.09.2010, 13:23
Samplitude

Логи прикрепил.
05.09.2010, 13:24
Samplitude

Карантин выслал.
05.09.2010, 13:36
olejah

Выполните скрипт в АВЗ -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\e1u2c2f3u7b4.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

- Что с проблемой?
05.09.2010, 16:28
Samplitude

скрипт выполнил. в диспетчере задач висят процессы: wuaucult.exe; C:\WINDOWS\system32\msvmiode; C:\WINDOWS\cfdrive32. Теперь даже с этими процессами в интернет можно выйти. Раньше пока их не завершу - не мог выйти. Часто вылетают сообщения о ошибках в каких-то файлах. Интернет сильно тормозит.
05.09.2010, 16:31
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL]
05.09.2010, 17:33
Samplitude

Сделал сканирование MBAM но система зависла. Перезагрузился кнопкой reset. Лога нет. Что сделать?
05.09.2010, 17:35
olejah

А где искали?
05.09.2010, 17:37
Samplitude

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs по этому пути искал.
05.09.2010, 17:38
olejah

Я только не понял зачем перезагружаться надо было. Давайте заново без перезагрузки.
05.09.2010, 17:41
Samplitude

Система абсолютно зависла, курсор не двигался, ctrl+alt+delete не действовали, клавиша Windows не реагировала, после минут 20 ожидания я и перегрузился. ОК, процесс сканирования MBAM запущен.
05.09.2010, 17:54
Samplitude

Вот лог MBAM.
05.09.2010, 18:04
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-3274150017-4678720141-052974308-2304\syscr.exe,explorer.exe,C:\Documents and Settings\Кирилл\Application Data\ltzqai.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.

Зараженные файлы:
C:\RECYCLER\S-1-5-21-3274150017-4678720141-052974308-2304\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-7977601498-1189257045-752141501-7853\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
[/CODE]

- Повторите лог МВАМ
05.09.2010, 18:26
Samplitude

Удалил все что написали. Прикрепляю лог после удаления.
05.09.2010, 18:32
olejah

Больше плохого нет...
05.09.2010, 18:40
Samplitude

В диспетчере задач по прежнему висит процесс msvmiode.exe. Это он и cfdrive32.exe (его нет уже) не давали мне доступ в интернет...
05.09.2010, 19:02
olejah

[QUOTE='Samplitude;701926']msvmiode.exe.[/QUOTE] Этого нет ни в одном логе.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Но если хочется, можно ударить вслепую -

Выполните скрипт в АВЗ -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Компьютер перезагрузится
06.09.2010, 12:28
Samplitude

Скрипт не выполнился. Выдал ошибку:

Ошибка ')' expected в позиции 5:14
06.09.2010, 12:48
Samplitude

Скрипт не выполнился. Выдал ошибку

Ошибка ')' expected в позиции 5:14

Исчезло меню Пуск --> Выполнить
Диспетчер задач не тот
Не могу открыть свойства папки чтоб смотреть скрытые файлы
Постоянно сбои в подключении интернет.
присутствуют cfdrive32 и msvmiode

Сделал логи АВЗ и ХайДжек
06.09.2010, 12:52
olejah

Скрипт был поправлен, выполняйте. +

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
06.09.2010, 13:32
Samplitude

После ComboFix появилось меню Пуск--Выполнить, вроде нормальный диспетчер задач. Вроде бы интернет стал быстрее. Прикрепляю лог.
06.09.2010, 14:40
Samplitude

только что вылезло сообщение XP об ошибке (какой-то ATI Generic file) и в диспетчере задач появился Zsorm.exe, wscntfu.exe, пропала языковая панель...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Проблемы с мышью - почти все открывает с одного щелчка... Чем можно заменить диспетчер задач?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

инет снова дико стал тормозить. Мышь словно взбесилась....
06.09.2010, 20:44
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
C:\e1u2c2f3u7b4.exe
c:\windows\system32\doc.exe

Driver::

Folder::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"patches"=-

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
06.09.2010, 23:44
Samplitude

Прикрепляю лог комбофикс
06.09.2010, 23:57
thyrex

Что сейчас с проблемой?
08.09.2010, 09:29
Samplitude

Система упала, вывелся синий экран, после перезагрузки ХР не загрузился, снова выдав синий экран. Потом написал что не может найти какой то файл... я форматнул системный диск. Сейчас от интернета отключен, пишу с работы. Хочу установить ХР SP3 + Explorer 8. Буду сидеть под учеткой обычного юзера без прав. А если у меня не будет прав на доступ к папке WINDOWS, сможет ли AVZ скриптами удалять зловреды оттуда и править реестр?
09.09.2010, 14:42
Samplitude

Всем спасибо!!!!! все работает!!!
09.09.2010, 21:27
thyrex

[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
10.09.2010, 21:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\кирилл\\application data\\ltzqai.exe - [B]Trojan.Win32.Pincav.afyk[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Worm.Generic.273004, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )[*] c:\\e1u2c2f3u7b4.exe - [B]Trojan.Win32.Gibi.od[/B] ( DrWEB: Dialer.Siggen.122, BitDefender: Trojan.Generic.6662235, NOD32: Win32/Dialer.NGB trojan, AVAST4: Win32:VB-PFB [Drp] )[*] c:\\windows\\cfdrive32.exe - [B]Trojan.Win32.Jorik.SdBot.cp[/B] ( DrWEB: Trojan.AVKill.2331, BitDefender: Trojan.VB.OEX, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-AII [Trj] )[*] c:\\windows\\system32\\zsorm.exe - [B]Trojan.Win32.Gibi.od[/B] ( DrWEB: Trojan.AVKill.2315, BitDefender: Trojan.Generic.6662235, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Dialer-gen [Dialer] )[*] c:\\windows\\system32\\14.scr - [B]Trojan.Win32.Gibi.od[/B] ( DrWEB: Trojan.AVKill.2315, BitDefender: Trojan.Generic.6662235, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Dialer-gen [Dialer] )[*] c:\\windows\\system32\\61.exe - [B]P2P-Worm.Win32.Palevo.avdm[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Worm.Generic.272900, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\74.scr - [B]Trojan.Win32.Gibi.od[/B] ( DrWEB: Trojan.AVKill.2315, BitDefender: Trojan.Generic.6662235, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Dialer-gen [Dialer] )[/LIST][/LIST]