Тормозит ноутбук.

[DeadDream]

Доброго времени суток.

Начал тормозить набочий ноут. Решил пробежаться по нему CureIT-ом, вылетел в синьку. В безопасном режиме то же самое. Т.к ноут общедоступный, первые подозрения падают не на сбойную память, а все ж на вирей.

Логи в аттаче.
Заранее спасибо!

[Bratez]

Выполните скрипт в AVZ:

Code:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\system32\nifed.exe','');
 QuarantineFile('D:\WINDOWS\system32\lyroum.exe','');
 QuarantineFile('D:\RECYCLER\S-1-5-21-3034709544-4555704980-768290403-6001\djwi2kcew.exe','');
 QuarantineFile('D:\Documents and Settings\Odmin\fxmdk.exe','');
 QuarantineFile('D:\Documents and Settings\LocalService\Application Data\Microsoft\hettoojoud.exe','');
 QuarantineFile('D:\WINDOWS\system32\coummoo.exe','');
 QuarantineFile('D:\WINDOWS\system32\goubyh.exe','');
 QuarantineFile('D:\WINDOWS\system32\Drivers\ytwhwlbkw.sys','');
 QuarantineFile('D:\WINDOWS\system32\luquij.exe','');
 DeleteFile('D:\WINDOWS\system32\luquij.exe');
 DeleteFile('D:\WINDOWS\system32\Drivers\ytwhwlbkw.sys');
 DeleteFile('D:\WINDOWS\system32\goubyh.exe');
 DeleteFile('D:\WINDOWS\system32\coummoo.exe');
 DeleteFile('D:\Documents and Settings\LocalService\Application Data\Microsoft\hettoojoud.exe');
 DeleteFile('D:\Documents and Settings\Odmin\fxmdk.exe');
 DeleteFile('D:\RECYCLER\S-1-5-21-3034709544-4555704980-768290403-6001\djwi2kcew.exe');
 DeleteFile('D:\WINDOWS\system32\lyroum.exe');
 DeleteFile('D:\WINDOWS\system32\nifed.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=100284).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Сделайте лог gmer.

[DeadDream]

Карантин пуст, по-этому прилагаю только повторные логи + gmer

[Bratez]

Вам понадобится любой загрузочный CD, позволяющий выполнять операции с файлами на жестком диске. С его помощью необходимо переместить или переименовать файл
C:\WINDOWS\system32\Drivers\ytwhwlbkw.sys

После этого запустите снова свою систему и выполните скрипт в AVZ:

Code:

begin
RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\ytwhwlbkw');
BC_DeleteSvc('ytwhwlbkw');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Переименованный или перемещенный файл запакуйте в zip-архив с паролем virus и пришлите по ссылке для карантина (см. вверху темы). Сделайте новый лог по п.2 раздела Диагностика.

[DeadDream]

Извиняюсь за задержку с ответом, ноут рабочий - пошел по рукам, только сейчас снова за него взялся.

Карантина и на этот раз не будет.. Антивирус на здоровой машине быстренько определил ytwhwlbkw.sys как Trojan.Spambot и грохнул вместе с архивом.. Но за этот день, пока ноут был недоступен, на него набралась кучка новых вирей.. Лог syscheck прилагаю

[Bratez]

После сканирования CureIt'ом надо перезагружать компьютер, прежде чем делать логи AVZ!
Сделайте лог заново, чтобы не было сомнений.

[DeadDream]

Готово.

[Bratez]

Чисто.

[DeadDream]

Очень странно. Тормоза остались

[thyrex]

Сделайте лог полного сканирования МВАМ

[DeadDream]

Прикрепляю лог.

[thyrex]

Удалите в МВАМ только указанные строки

Code:

d:\documents and settings\Odmin\local settings\Temp\utt17.tmp.exe (Trojan.Pakes) -> No action taken.

[DeadDream]

Сделал. Тормоза все равно остались.. Вроде зловредов на компе уже нет, теперь остается грешить на 1) драйвера 2) на саму ось.