-
Junior Member
- Вес репутации
- 49
Система едва дышит. Антивирусы принудительно закрываются.
ДОбрый день!
Прошу помощи.
Проблема следующего рода.
Внешние признаки: Windows XP (SP3)
1. Невозможно зайти на некоторые сайты, в т.ч. virusinfo.info --> пишу c другой машины.
2. Все медленно работает. Firefox при запуске ОЧЕНЬ долго думает, запускается с ошибками.
3. Периодически начинает усиленно работать HDD.
4. Надолго подвисает меню после нажатия кнопки ПУСК.
5. Антивирусы NOD32, Spybot мирно продолжают работать, ничего не находят. Но NOD32 перестал обновляться: не видит сервера.
Если на странице браузера или в проводнике или в ином приложении есть слова AVZ, HijackThis, VirusRemovalTool и т.п., приложение принудительно закрывается.
Переименование файлов ничего не дает. Если упорствовать с запуском, то перезапускается explorer.exe, если совсем упорствовать, то explorer.exe слетает вовсе.
В Безопасном режиме наблюдается таже картина с той лишь разницей, что теперь не explorer.exe слетает, а комп уходит в перезагрузку.
При снятом в процессах explorer.exe возможно _иногда_ запустить что-нибудь из перечисленного и успеть выполнить.
Однако установленый таким образом hijackThis удаляется при первом же запуске explorer.exe, а иногда и до.
Визуально есть 2 подозрительных, мягко говоря, файла свежей даты:
c:\windows\system32\ШjУ+ 24.11.2010
c:\windows\system32\'dn? 07.12.2010
Прикрепляю логи Hijackthis, AVZ, кое-как сделанные при снятом explorer.exe
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\KHOLMO~1.ETV\LOCALS~1\Temp\1CCgnLmH.sys','');
QuarantineFile('C:\WINDOWS\system32\cupkngb.exe','');
QuarantineFile('C:\WINDOWS\system32\yauvfea.exe','');
QuarantineFile('C:\WINDOWS\system32:«Р«к•Лѓ!:$DATA','');
DeleteFile('C:\WINDOWS\system32:«Р«к•Лѓ!:$DATA');
DeleteFile('C:\WINDOWS\system32\yauvfea.exe');
DeleteFile('C:\WINDOWS\system32\cupkngb.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Есть возможность сделать логи в обычном режиме?
-
-
Junior Member
- Вес репутации
- 49
Карантин прислал.
Логи удалось сделать в обычном режиме. Системе стала заметно лучше.
Но похоже что-то ещё осталось.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DeleteFile('C:\WINDOWS\system32:«Р«к•Лѓ!:$DATA');
DeleteFile('C:\WINDOWS\system32:«Р«к•Лѓ!:$DATA');
DeleteFile('C:\WINDOWS\system32:«Р«к•Лѓ!');
DeleteFile('C:\WINDOWS\system32\cupkngb.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
SetAVZPMStatus(false);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 49
Логи повторно.
p.s.
Файлы в system32 присутствуют
c:\windows\system32\ШjУ+ 24.11.2010
c:\windows\system32\'dn? 07.12.2010
-
-
-
Junior Member
- Вес репутации
- 49
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\ШjУ†
c:\windows\system32\'dnЂ
Driver::
NetSvc::
Folder::
c:\program files\Common Files\a8361eb9a
c:\program files\Common Files\A8361DA3a
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 49
Ранее указанные файлы исчезли.
Новый отчёт ComboFix.
-
-
-
Junior Member
- Вес репутации
- 49
Вроде все чисто. Описанные ранее симптомы отсутствуют.
Olejah, Большое спасибо! Всё очень чётко и оперативно.
ps По всей видимости, осталось удалить ComboFix.
-
Всегда пожалуйста.
Сообщение от
Kyrioss
ps По всей видимости, осталось удалить ComboFix.
Да, делается это так - http://virusinfo.info/showpost.php?p=500136&postcount=2
Но самое главное - обновляемся, рекомендуется -
- Установить все важные обновления.
- Установить IE 8 - даже если Вы им не пользуетесь.
-
-
А также
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
thyrex
А также
Смените все пароли
Локальные или которые использовал в это время, заходя на сайты?
-
Все. Они все могли уйти на сторону.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\yauvfea.exe - Backdoor.Win32.Shiz.auh ( DrWEB: Trojan.MulDrop1.52532, BitDefender: Trojan.Generic.KDV.85506, AVAST4: Win32:Malware-gen )
-