-
Junior Member
- Вес репутации
- 53
Компьютер тормозит, tdss.565, wuaucit.exe, atapi.sys
Компьютер очень сильно тормозит при работе, полная проверка установленным dr.web с последнми базами не даёт никаких результатов. Согласно правилам, пробовал запустить безопасный режим для сканирования cureit'ом, однако безопасный режим запустить не удается, при попытке загрузить его компьютер перезагружается. Если загрузить компьютер в обычном режиме и запустить cureit, он находит и обезвреживает backdoor.tdss.565, правда до следующей перезагрузки. Кроме этого, при проверке avz находит два поцесса - руткита: wuaucit.exe и atapi.sys, но как удалить их, я не знаю. Самостоятельно avz их не обезвреживает. Логи прикладываю.
Последний раз редактировалось arva; 27.11.2009 в 07:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('eufeafy55a2o');
QuarantineFile('C:\Documents and Settings\Администратор\xce.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\photo_id.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\photo_id.exe','');
QuarantineFile('c:\windows\system32\wuaucit.exe','');
TerminateProcessByName('c:\windows\system32\wuaucit.exe');
QuarantineFile('c:\documents and settings\Администратор\photo_id.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\photo_id.exe');
QuarantineFile('c:\windows\msdrv32.exe','');
TerminateProcessByName('c:\windows\msdrv32.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\bn72.tmp','');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\bn72.tmp');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\bn70.tmp');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\bn6f.tmp','');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\bn6f.tmp');
QuarantineFile('c:\windows\system32\av_md.exe','');
TerminateProcessByName('c:\windows\system32\av_md.exe');
DeleteFile('c:\windows\system32\av_md.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\bn6f.tmp');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\bn70.tmp');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\bn72.tmp');
DeleteFile('c:\windows\msdrv32.exe');
DeleteFile('c:\documents and settings\Администратор\photo_id.exe');
DeleteFile('c:\windows\system32\wuaucit.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\ryquout.exe');
DeleteFile('C:\Documents and Settings\Администратор\av_md.exe');
DeleteFile('C:\Documents and Settings\Администратор\photo_id.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\photo_id.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update');
DeleteFile('C:\Documents and Settings\Администратор\xce.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Файл C:\WINDOWS\system32\Drivers\atapi.sys пролечите утилиткой по этой ссылке http://support.kaspersky.ru/faq/?qid=208636926 .
Сделайте новые логи.
Последний раз редактировалось Alex_Goodwin; 27.11.2009 в 08:43.
-
-
Junior Member
- Вес репутации
- 53
сделал все как написано. компьютер стал работать значительно быстрее, бОльшая часть глюков исчезла. прикладываю новые логи. скачал tdsskiller с сайта касперского - он ничего не нашел. И, да, заблокирован запуск диспетчера задач - подозреваю, что все - таки какая то зараза осталась.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wxavkoqc');
QuarantineFile('C:\WINDOWS\System32\Drivers\wxavkoqc.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\atapi.sys','');
QuarantineFile('c:\windows\msdrv32.exe','');
QuarantineFile('c:\windows\temp\bn72.tmp','');
DeleteFile('c:\windows\temp\bn72.tmp');
DeleteFile('c:\windows\msdrv32.exe');
DeleteFile('C:\WINDOWS\msdrv32.exe');
DeleteFile('C:\WINDOWS\TEMP\BN72.tmp');
DeleteFile('C:\WINDOWS\System32\Drivers\wxavkoqc.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи + такой http://www.gmer.net/
-
-
Junior Member
- Вес репутации
- 53
сделал. прикаладываю логи.
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteService('wxavkoqc');
DeleteFile('C:\WINDOWS\System32\Drivers\wxavkoqc.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Переделайте лог gmer.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
выполнил скрипт. В карантине ничего нет, поэтому высылать нечего. прикладываю обновленные логи gmer и virusinfo_syschek.zip
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=53070
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\photo_id.exe - Trojan.Win32.Inject.alsl ( DrWEB: Trojan.Inject.7422, BitDefender: Trojan.Generic.2793846, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\9335~1\locals~1\temp\bn6f.tmp - Backdoor.Win32.Emegrab.e ( DrWEB: BackDoor.Siggen.3862, BitDefender: Trojan.Generic.2717295, AVAST4: Win32:Agent-PTI [Trj] )
- c:\docume~1\9335~1\locals~1\temp\bn72.tmp - Backdoor.Win32.Emegrab.e ( DrWEB: BackDoor.Siggen.3862, BitDefender: Trojan.Generic.2717295, AVAST4: Win32:Agent-PTI [Trj] )
- c:\windows\msdrv32.exe - Trojan.Win32.Buzus.cqbm ( DrWEB: BackDoor.IRC.Bot.157, BitDefender: Trojan.Generic.2766051, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen )
- c:\windows\msdrv32.exe - Trojan.Win32.Buzus.cqjn ( DrWEB: BackDoor.IRC.Bot.157, BitDefender: Worm.Generic.102744, AVAST4: Win32:Malware-gen )
- c:\windows\system32\av_md.exe - Backdoor.Win32.HareBot.aln ( DrWEB: Trojan.Inject.7433 )
- c:\windows\system32\drivers\atapi.sys - Virus.Win32.Protector.c ( DrWEB: Trojan.DownLoad.47257, BitDefender: Rootkit.Kobcka.Patched.Gen )
- c:\windows\system32\photo_id.exe - Trojan.Win32.Inject.alsl ( DrWEB: Trojan.Inject.7422, BitDefender: Trojan.Generic.2793846, AVAST4: Win32:Rootkit-gen [Rtk] )
-