Проблема с процессами

[pi2ox]

Рабочее состояние компьютера нормальное примерно 3 часа, после начинаются подвисания и под конец компьютер зависает.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows.0\system32\wuaucldt.exe');
 QuarantineFile('C:\WINDOWS.0\system32\Drivers\NDIS.sys','');
 QuarantineFile('C:\DOCUME~1\HY6KO~1.MIC\LOCALS~1\Temp\330979.exe','');
 QuarantineFile('C:\RECYCLER.lnk','');
 QuarantineFile('C:\WINDOWS.0\System32\ikmilbnh.exe','');
 QuarantineFile('C:\WINDOWS.0\System32\userinit.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\regedit.exe','');
 QuarantineFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\wuaucldt.exe','');
 QuarantineFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\ctfmon.exe','');
 QuarantineFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\wuaucldt.exe','');
 DeleteFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\wuaucldt.exe');
 DeleteFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\ctfmon.exe');
 DeleteFile('C:\WINDOWS.0\system32\wuaucldt.exe');
 DeleteFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
 DeleteFile('C:\WINDOWS.0\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 DeleteFile('C:\WINDOWS.0\System32\ikmilbnh.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ikmilbnh');
 DeleteFile('C:\RECYCLER.lnk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Recycler');
 DeleteFile('C:\DOCUME~1\HY6KO~1.MIC\LOCALS~1\Temp\330979.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svhost');  
 QuarantineFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\Application Data\szdx.exe','');
 DeleteFile('C:\Documents and Settings\Hy6Ko.MICROSOF-C4E986\Application Data\szdx.exe');
 DelCLSID('67KLN5J0-4OPM-00WE-AAX5-74CC3A187132');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[pi2ox]

Работа компьютера нормальная, пока не замечено не одного сбоя. В безопасном режиме синий экран, стали появляться процессы rundll32.exe

[olejah]

Логи АВЗ делаются или Вы забыли их приложить?

[pi2ox]

Извиняюсь=)

[thyrex]

C:\WINDOWS.0\system32\Drivers\NDIS.sys и C:\WINDOWS.0\System32\userinit.exe замените чистыми с дистрибутива

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\drivers\win32x.sys','');
 QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\cdrom.sys','');
 QuarantineFile('C:\WINDOWS.0\system32\Drivers\mrxnet.sys','');
 QuarantineFile('C:\WINDOWS.0\system32\Drivers\mrxcls.sys','');
 DeleteFile('C:\WINDOWS.0\system32\drivers\win32x.sys');
 DeleteFile('C:\WINDOWS.0\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[pi2ox]

Хмм странно файл userinit.exe не нашел=( Вообще в системке нету=( и еще заметил что у меня два NDIS.sys удалить только один?=)

Добавлено через 34 минуты

Извиняюсь=) Нашел=)

[pi2ox]

Карантин залил=)

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe');
 DeleteFile('C:\WINDOWS.0\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 DeleteFile('C:\WINDOWS.0\system32\Drivers\mrxnet.sys');
 DeleteFile('C:\WINDOWS.0\system32\Drivers\mrxcls.sys');
 DeleteFile('C:\WINDOWS.0\system32\drivers\win32x.sys');      
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Сделайте новые логи

- Файлы C:\WINDOWS.0\system32\DRIVERS\cdrom.sys и C:\WINDOWS.0\system32\Drivers\NDIS.sys надо заменить чистыми с дистрибутива

[pi2ox]

Вроде все=)

[olejah]

Что с проблемой?

[pi2ox]

Проблема решена помоему=) Компьютер не подвисает=) Огромное спасибо=)

[olejah]

Рекомендуется -

- Установить все важные обновления.
- Установить IE 8 - даже если Вы им не пользуетесь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 43
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\hy6ko.microsof-c4e986\\application data\\szdx.exe - Trojan-Downloader.Win32.FraudLoad.haz ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.37690, NOD32: Win32/Bflient.K worm, AVAST4: Win32:MalOb-CS [Cryp] )
  2. c:\\documents and settings\\hy6ko.microsof-c4e986\\ctfmon.exe - P2P-Worm.Win32.Palevo.fuc ( DrWEB: Trojan.Packed.20312, BitDefender: Gen:Variant.Rimecud.1, AVAST4: Win32:Crumpache [Cryp] )
  3. c:\\documents and settings\\hy6ko.microsof-c4e986\\wuaucldt.exe - Trojan.Win32.Pincav.agkq ( DrWEB: BackDoor.Bulknet.510, BitDefender: Trojan.Inject.IA, AVAST4: Win32:Cutwail-AN [Trj] )
  4. c:\\recycler.lnk - Exploit.Win32.CVE-2010-2568.gen ( DrWEB: Exploit.Cpllnk, BitDefender: Exploit.CplLnk.Gen, NOD32: LNK/Exploit.CVE-2010-2568 trojan, AVAST4: LNK:Runner )
  5. c:\\system\\g-923-321232-3232-32211-23\\memory.exe - Packed.Win32.Krap.at ( DrWEB: Trojan.MulDrop.47709, BitDefender: Trojan.Generic.1941656, NOD32: Win32/AutoRun.VB.CJ worm, AVAST4: Win32:Regrun-GK [Trj] )
  6. c:\\windows.0\\system32\\drivers\\cdrom.sys - Virus.Win32.Protector.h ( DrWEB: BackDoor.Bulknet.508, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.N virus, AVAST4: Win32:Cutwail-AP [Rtk] )
  7. c:\\windows.0\\system32\\drivers\\mrxcls.sys - Rootkit.Win32.Stuxnet.a ( DrWEB: Trojan.Stuxnet.1, BitDefender: Rootkit.Stuxnet.A, NOD32: Win32/Stuxnet.A worm, AVAST4: Win32:Duqu-K [Rtk] )
  8. c:\\windows.0\\system32\\drivers\\mrxnet.sys - Rootkit.Win32.Stuxnet.b ( DrWEB: Trojan.Stuxnet.1, BitDefender: Rootkit.Stuxnet.A, NOD32: Win32/Stuxnet.A worm, AVAST4: Win32:Stuxnet [Rtk] )
  9. c:\\windows.0\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
  10. c:\\windows.0\\system32\\drivers\\win32x.sys - Trojan-Mailfinder.Win32.Agent.th ( DrWEB: Trojan.NtRootKit.1601, BitDefender: Trojan.Generic.754175, NOD32: Win32/SpamTool.Agent.NBP trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
  11. c:\\windows.0\\system32\\ikmilbnh.exe - Trojan-Downloader.Win32.FraudLoad.haz ( DrWEB: Trojan.Proxy.14858, BitDefender: Trojan.Generic.5099520, NOD32: Win32/Wigon.KQ trojan, AVAST4: Win32:Crypt-HPM [Trj] )
  12. c:\\windows.0\\system32\\userinit.exe - Trojan-Spy.Win32.Zbot.arsd ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.39711, AVAST4: Win32:MalOb-CS [Cryp] )
  13. c:\\windows.0\\system32\\wuaucldt.exe - Trojan.Win32.Pincav.agkq ( DrWEB: BackDoor.Bulknet.510, BitDefender: Trojan.Inject.IA, AVAST4: Win32:Cutwail-AN [Trj] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !