заблокированные файлы + тормоза

[shaman21]

Началось все довольно давно. Я стал замечать, что некоторые файлы и папки вдруг стали заблокированными -
не посчитал это уж больно серьезным, т к общая работа компа не нарушилась, а файлы можно достать
с помощью R-Studio. Замечу, что ни Nod, ни Dr web, ни McAfee ничего не выявили. Один только Stinger от
McAfee "вылечил" кучу файлов. На деле все осталось как прежде.
Но вот недавно после копания в нете почуял, что кого-то подхватил. Симптомы:
- тормоза при запуске программ. Как потом показал KAV, к примеру, в Winamp внедряется приложение
drwtsn32.exe - заблоблоквал.
- svchost.exe (системный) почти всегда отъедает 2% загрузки ЦП, и всего их три (а еще один Local И два Network).
Может так и должно быть, но что-то раньше не замечал.
- Повреждены сигнатуры угроз Каспера, попытка внедрения в процесс Каспера - заблокирована самозащитой.
Файловый, постовый и Веб антивирус в нем не работают - сбой.
Список того, что за это время выявлено:
w32/Nsane!p2p-virus
startPage-ip-trojan
Trojan_psw.win32.Delf.kn(или m - не пойму что написал)
worm.win32.Deborm.c
trojan.app.actxcomp
Ничего ничем не лечилось и не удалялось (кроме последнего - был на диске, помещен в карантин).
Вот такие вот дела. Так хочется здоровую систему!
Вложение 6084

Вложение 6085

Вложение 6086

[Geser]

Выполните скрипт, пришлите файлы из карантина
подозреваю какой-то файловый вирус

begin
QuarantineFile('c:\program files\tweak-xp pro 4\adblocker.exe','');
QuarantineFile('c:\program files\total commander\plugins\exe\akelpad.exe','');
QuarantineFile('c:\program files\bluesoleil\btntservice.exe','');
QuarantineFile('c:\program files\cpucool\coolsrv.exe','');
QuarantineFile('c:\program files\lclock\lclock.exe','');
QuarantineFile('c:\windows\system32\spoolsv.exe',' ');
end.

[shaman21]

Все выполнил по правилам. Тормоза пропали, Winamp работает замечательно! Осталось вычистить эту гадость. Есть все-таки добрые люди на Свете!

[pig]

А ведь ещё ничего не делалось. Только файлы в карантин пособирали.

[shaman21]

Кажись я поторопился. Сначала минут десять все было нормально, потом при переключении трека опять полез drwtsn32.exe что-то там отлаживать. Выгрузил и снова загрузил KAV, начались страшные тормоза - reboot и все нормально. Интересно, что Касперский, немсмотря на сбой, продолжает как-то функционировать. По крайней мере предупреждает о Dr.Ватсоне.
Сейчас печатаю без тормозов.
Насчет вирей, у меня сильное предположение, что их два. Приколы с залочиванием начались месяца два назад, а тормоза две недели. Вот так. Жду инструкций.

[PavelA]

Код:

autocheck autochk /r \??\H:autocheck autochk *

- строчка говорит, что нужно диск проверить. Обратите внимание.

[shaman21]

Да, чекдиск как-то вылезал, но я сделал отмену. К тому времени еще не все файлы были восстановлены. Мало ли че он там учудит. А щас и нет его.

[PavelA]

А карантин то прислал? Так без "таблеток" ты вряд ли вылечишься.

[shaman21]

Так уж высылал! Шлю повторно, результат загрузки:
Файл сохранён как070123_232137_for_7596_45b66e519f2fa.zipРазмер файла155451MD5e5baf48ae2b5fb3345b53ef3a92b9f05Файл закачан, спасибо!

[PavelA]

Предыдущий карантин чистый.
1.Попробуем еще вот это:

Код:

begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2649_x-ww_aac16c8b\comctl32.dll','');
QuarantineFile('C:\WINDOWS\system32\Mira6\5160C\Scnwia13.dll','');
RebootWindows(true);
end.

2. McAfee работает или нет? В сервисах довольно много его остатков.
3. Поискать comctl32.dll. Возможно, проблемы из-за несоответствия версии библиотеки.

Еще попробуй найти в AVZ drwtsn32.exe и добавить в карантин ручками.
Возможно их будет несколько.

[Alex_Goodwin]

Диск на который винда ругалась лучше проверить.

[shaman21]

Диски проверил, скрипт выполнил. Зашел в Менеджер файла hosts, а там куча сайтов, которых я с роду не видал (его содержание приложил к карантину).
drwtsn32.exe не хочет лезть в карантин. Вместо него приложил его лог (также в карантине). И уж если не видно ничего, заново сделал 1-ый, 3-ий логи. Первый делал весь день, возможно перехватывались обращения к диску, отчего и были тормоза с выполнением. Второй не сделал, уж помилуйте. Но если скажете надо - сделаю.
Насчет comctl32.dll. Нашел его в четырех местах. Что с ней делать, просто заменить тот что в папке Windows?
Карантин:
Файл сохранён как070125_165623_for_7596_1_45b8b707e3b95.zipРазмер файла2096795MD58414b5a85581efd26fd3552b6b5f86e2Файл закачан, спасибо!


еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые

А эта строка сама пропечаталась за секунду, пока писал сообщение.
Ну и логи:

[PavelA]

Проверил то, что прислали на virustotal.com. Зверья не обнаружил.

В файле Hosts - следы Adblocker. Это не от вируса.

Видны следы от НОДа , Доктора Веба и Макаффи. Лучше их через HijackThis профиксить.

Нужно чтобы кто-нибудь еще посмотрел.

[shaman21]

Второй лог тоже сделал, выкладываю все три в одном архиве без пароля.
Проверил на virustotal - вроде чист.
LOG_7596.rar

[PavelA]

Посмотри в реестре ключик:
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost
Для нормального ХР д.б. logonui.exe, если пытался накатывать Vista, то vistaui.exe
М.б. что-то с этим связано.

[shaman21]

Стоит XP SP2, хотя ставил еще и SP3. Действительно, приносили прогу, так она ставит все оформление как в Vist'е (тема, звуки, окно загрузки, меню выбора пользователя и т.д.). Мож быть и из-за него - я не спец, вам виднее.

[shaman21]

ВСЕ! Вроде вылечился! Отнес винты к другану, он проверил, все вычистил.
У меня орудовал Worm.win32.RJump.a. Кроме него выявлены Neshta.b и модификация Sasser'а. Если есть какие-то приколы с ними, ну там типа основной файл затаился где-то зашифрованный, просьба прошу предупредить. Да, сканировали KIS'ом.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 16
• В ходе лечения вредоносные программы в карантинах не обнаружены