Win32.HLLW.Shadow – «невидимка» с флешки

[Alcapenshif8]

Доброго времени суток. ОС - Windows 7 Ultimate. Комп начал очень сильно хандрить и работать очень медленно. При подключении к нету выплывает сообщение: "Не удается загрузить службу диспетчера подключений удаленного доступа. Ошибка 711: Не удалось завершить операцию, так как она не смогла запустить службу диспетчера полключений удаленного доступа вовремя. Выполните операцию еще раз." Если попытаться снова - подключается, но медленно. Интернет также медленный. Все началось с того, как я подключил обычную флешку (автозапуск с нее был включен), около 3 минут она не подавала не каких признаков, но когда я про нее вспомнил и проверил доктором вебом - оказалось, что она инфицирована Win32.HLLW.Shadow . Антивирус поместил вредоносные файлы в карантин. Выполнил полную проверку компьютера - доктор ничего не нашел. Но буквально через два дня комп начал глючить. И так по сей день... Пожалуйста, помогите.

[Info_bot]

Уважаемый(ая) Alcapenshif8, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Alcapenshif8]

Скачайте Malwarebytes' Anti-Malware

А доктор веб не будет ругаться? Может его удалить?

[mike 1]

Не будет. Лучше доктора не удалять так это сетевой червь.

[Alcapenshif8]

Спасибо за такой быстрый ответ , сейчас же начну выполнять ваши инструкции.

- - - Добавлено - - -

Логи сделал...

[mike 1]

Следов Kido не видно по логам. В MBAM ничего удалять не нужно.

[Alcapenshif8]

И все же, постоянно 7 процессов svchost.exe, процессы KMService.exe, lsass.exe, services.exe, SYSTEM и wininit.exe пытаются коннектится к какой-то сети… Может червь или вирус внедрились в них? Да и еще процессы svchost.exe иногда пытаются изменить файл HOSTS, но доктор веб не разрешает им это сделать… Что же это за гадость???

[mike 1]

Все перечисленные процессы системные. KMService.exe - это кряк от офиса.

Сделайте лог GMER.

[Alcapenshif8]

Доброго времени суток. Сделал лог и сохранил, но до этого доктор веб обновился и потребовал перезагрузки. Я не стал перезагружать и провел сканирование – все прошло норм. Но после закрытия GMER затупила мышка, включил перезагрузку. «Сияющий кружок» как-то неестественно при этом крутился, и комп завис – после этого «кружок» стал вести себя нормально. По прошествии 30 минут выпрыгнул синий экран (после этого комп сам НЕ перезагрузился) с таким сообщением:
«...
Technical information:
***STOP:0x0000009F(0x0000000000000004,0x0000000000 000258,0xFFFFFA8003577B50,0xFFFFF80000B9C510)
...»
Выключил, и снова включил компьютер – никаких признаков сбоя – меня встретил мой обычный чудоковатый комп .
Лог выложил ниже.
Заранее спасибо за ответ.

[mike 1]

В логе ничего плохого не увидел.

[Alcapenshif8]

Большое спасибо . Значит мой компьютер здоров???
Может лучше переустановить винду?

[mike 1]

Большое спасибо . Значит мой компьютер здоров???
Может лучше переустановить винду?

Здоров.

1. Удалите MBAM через установка и удаление программ.

2.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt