Очень долго грузиться компьютер, у меня подозрение на зловред. Помогите.
Очень долго грузиться компьютер, у меня подозрение на зловред. Помогите.
Последний раз редактировалось GREET; 17.09.2008 в 18:38.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\HBKernel.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\eth8023.sys',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll',''); QuarantineFile('C:\WINDOWS\Update.dll',''); QuarantineFile('C:\WINDOWS\sysocmgr.dll',''); QuarantineFile('C:\WINDOWS\system32\adsntzt.dll',''); QuarantineFile('C:\WINDOWS\system32\eskisl.dll',''); QuarantineFile('C:\WINDOWS\system32\explore.exe',''); QuarantineFile('C:\WINDOWS\system32\linkdel.cmd',''); QuarantineFile('C:\WINDOWS\system32\mcromv.dll',''); QuarantineFile('C:\WINDOWS\system32\pjygwxvo.dll',''); QuarantineFile('aaa.dll',''); QuarantineFile('C:\WINDOWS\system32\cbplus.dll',''); QuarantineFile('C:\WINDOWS\system32\comboausk.exe',''); QuarantineFile('C:\WINDOWS\system32\jolin0.dll',''); QuarantineFile('C:\WINDOWS\system32\welyri.dll',''); QuarantineFile('C:\WINDOWS\system32\HBmhly.dll',''); QuarantineFile('C:\WINDOWS\system32\nwapi32dj.dll',''); QuarantineFile('C:\WINDOWS\system32\twainyy.dll',''); QuarantineFile('C:\WINDOWS\system32\tscfgwmijxsj.dll',''); QuarantineFile('C:\WINDOWS\system32\avicapwm.dll',''); QuarantineFile('C:\WINDOWS\system32\mstimewd.dll',''); QuarantineFile('C:\WINDOWS\system32\xolehlpjh.dll',''); QuarantineFile('C:\WINDOWS\system32\imgutilhx2.dll',''); QuarantineFile('C:\WINDOWS\system32\slbiopfs2.dll',''); QuarantineFile('C:\WINDOWS\system32\bootvidgj.dll',''); QuarantineFile('C:\WINDOWS\system32\dispexcb.dll',''); QuarantineFile('C:\WINDOWS\system32\scrruncqsj.dll',''); QuarantineFile('C:\WINDOWS\system32\cliconfgzx.dll',''); QuarantineFile('C:\WINDOWS\system32\certmgrkd.dll',''); QuarantineFile('C:\WINDOWS\system32\inetresdxc.dll',''); QuarantineFile('C:\WINDOWS\system32\rasdlgcq.dll',''); QuarantineFile('C:\WINDOWS\system32\dpvvoxmh.dll',''); QuarantineFile('C:\WINDOWS\system32\lweurqhx.dll',''); QuarantineFile('C:\WINDOWS\system32\comuidsg.dll',''); DeleteService('HBKernel'); DeleteService('eth8023'); DelBHO('{97421D0D-E07F-40DF-8F07-99597B9585AD}'); DeleteFile('C:\WINDOWS\system32\comuidsg.dll'); DeleteFile('C:\WINDOWS\system32\lweurqhx.dll'); DeleteFile('C:\WINDOWS\system32\dpvvoxmh.dll'); DeleteFile('C:\WINDOWS\system32\rasdlgcq.dll'); DeleteFile('C:\WINDOWS\system32\inetresdxc.dll'); DeleteFile('C:\WINDOWS\system32\certmgrkd.dll'); DeleteFile('C:\WINDOWS\system32\cliconfgzx.dll'); DeleteFile('C:\WINDOWS\system32\scrruncqsj.dll'); DeleteFile('C:\WINDOWS\system32\dispexcb.dll'); DeleteFile('C:\WINDOWS\system32\bootvidgj.dll'); DeleteFile('C:\WINDOWS\system32\slbiopfs2.dll'); DeleteFile('C:\WINDOWS\system32\imgutilhx2.dll'); DeleteFile('C:\WINDOWS\system32\pjygwxvo.dll'); DeleteFile('C:\WINDOWS\system32\xolehlpjh.dll'); DeleteFile('C:\WINDOWS\system32\mstimewd.dll'); DeleteFile('C:\WINDOWS\system32\adsntzt.dll'); DeleteFile('C:\WINDOWS\system32\avicapwm.dll'); DeleteFile('C:\WINDOWS\system32\tscfgwmijxsj.dll'); DeleteFile('C:\WINDOWS\system32\twainyy.dll'); DeleteFile('C:\WINDOWS\system32\nwapi32dj.dll'); DeleteFile('C:\WINDOWS\system32\HBmhly.dll'); DeleteFile('C:\WINDOWS\system32\welyri.dll'); DeleteFile('C:\WINDOWS\system32\jolin0.dll'); DeleteFile('C:\WINDOWS\system32\comboausk.exe'); DeleteFile('C:\WINDOWS\system32\cbplus.dll'); DeleteFile('C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll'); DeleteFile('aaa.dll'); DeleteFile('C:\WINDOWS\system32\mcromv.dll'); DeleteFile('C:\WINDOWS\system32\linkdel.cmd'); DeleteFile('C:\WINDOWS\system32\explore.exe'); DeleteFile('C:\WINDOWS\system32\eskisl.dll'); DeleteFile('C:\WINDOWS\sysocmgr.dll'); DeleteFile('C:\WINDOWS\Update.dll'); DeleteFile('C:\WINDOWS\system32\drivers\eth8023.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('HBKernel'); BC_DeleteSvc('eth8023'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
новые логи
Последний раз редактировалось GREET; 17.09.2008 в 18:38.
архив virus весит 40 метров что то не цепляется к форуму
Сюда качайте, а не к форуму: http://virusinfo.info/upload_virus.php?tid=30337
Давайте логи.
Сорри, не заметил
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\comboaus.dll'); DeleteFile('HBmhly.dll'); DeleteFile('eskisl.dll'); DeleteFile('mcromv.dll'); DeleteFile('linkdel.cmd'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
Карантин - там д.б. много интересного - разбейте на 3-4 меньших и попробуйте загрузить по правилам (можно потом). На время обработки карантина отключите Ваш антивирус, а то он их сожрет.
Вот новые логи, дело в том что это уделенная машина. Машина в домене. Так что отключить сеть и т.д. немного проблематично
Последний раз редактировалось GREET; 17.09.2008 в 18:38.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\comboaus.dll'); DeleteFile('comboaus.dll'); DeleteFile('c:\windows\apppatch\acllayer.dll'); DeleteFile('C:\WINDOWS\AppPatch\acllayer.bak'); DeleteFile('C:\WINDOWS\AppPatch\DesktopWin.dll'); DeleteFile('C:\WINDOWS\Temp\wmsetup.dll'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам.
новые логи
Ничего подозрительного.
Нужно поставить Сервис Пак 3, возможно потребуется активация.
ПС: Кто там у Вас файл hosts изнасиловал?
Верните его в нормальное состояние:
Код:# Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost
Большое спасибо, все уже нормально
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 214
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\downloaded program files\\thunderadvise.dll - not-a-virus:AdWare.Win32.BHO.dai (DrWEB: Adware.ThunderAdvise.1)
- c:\\windows\\sysocmgr.dll - Trojan-Proxy.Win32.Agent.axl (DrWEB: Trojan.Proxy.3771)
- c:\\windows\\system32\\adsntzt.dll - Trojan-GameThief.Win32.OnLineGames.tfuh (DrWEB: Trojan.PWS.Wsgame.7391)
- c:\\windows\\system32\\avicapwm.dll - Trojan-GameThief.Win32.OnLineGames.tbpf (DrWEB: Trojan.PWS.Wsgame.7245)
- c:\\windows\\system32\\bootvidgj.dll - Trojan-GameThief.Win32.OnLineGames.tdar (DrWEB: Trojan.PWS.Wsgame.7303)
- c:\\windows\\system32\\cbplus.dll - Trojan-GameThief.Win32.OnLineGames.sqqa (DrWEB: Trojan.PWS.Wsgame.6475)
- c:\\windows\\system32\\certmgrkd.dll - Trojan-GameThief.Win32.OnLineGames.tcyo (DrWEB: Trojan.PWS.Wsgame.7350)
- c:\\windows\\system32\\cliconfgzx.dll - Trojan-GameThief.Win32.OnLineGames.tdwl (DrWEB: Trojan.PWS.Wsgame.7371)
- c:\\windows\\system32\\comboausk.exe - Trojan-GameThief.Win32.OnLineGames.thmt (DrWEB: Trojan.PWS.Wsgame.7429)
- c:\\windows\\system32\\comuidsg.dll - Trojan-GameThief.Win32.OnLineGames.tgwg (DrWEB: Trojan.PWS.Wsgame.7423)
- c:\\windows\\system32\\dispexcb.dll - Trojan-GameThief.Win32.OnLineGames.tflh (DrWEB: Trojan.PWS.Wsgame.7383)
- c:\\windows\\system32\\dpvvoxmh.dll - Trojan-GameThief.Win32.OnLineGames.teav (DrWEB: Trojan.PWS.Wsgame.7369)
- c:\\windows\\system32\\drivers\\hbkernel.sys - Trojan.Win32.Agent.udc (DrWEB: Trojan.PWS.Gamania.11937)
- c:\\windows\\system32\\eskisl.dll - Trojan-GameThief.Win32.OnLineGames.tcbb (DrWEB: Trojan.PWS.Wsgame.7262)
- c:\\windows\\system32\\explore.exe - Trojan-GameThief.Win32.OnLineGames.suaq (DrWEB: Trojan.PWS.Wsgame.7092)
- c:\\windows\\system32\\hbmhly.dll - Trojan-GameThief.Win32.OnLineGames.tcom (DrWEB: Trojan.PWS.Wsgame.7332)
- c:\\windows\\system32\\imgutilhx2.dll - Trojan-GameThief.Win32.OnLineGames.symd (DrWEB: Trojan.PWS.Wsgame.7149)
- c:\\windows\\system32\\inetresdxc.dll - Trojan-GameThief.Win32.OnLineGames.tbzh (DrWEB: Trojan.PWS.Wsgame.7300)
- c:\\windows\\system32\\jolin0.dll - Trojan-Spy.Win32.Agent.div (DrWEB: Trojan.PWS.Wsgame.6476)
- c:\\windows\\system32\\kildh3l.dll - Trojan-PSW.Win32.OnLineGames.arni (DrWEB: Trojan.PWS.Wsgame.7296)
- c:\\windows\\system32\\lweurqhx.dll - Trojan-GameThief.Win32.OnLineGames.tcog (DrWEB: Trojan.PWS.Wsgame.725
- c:\\windows\\system32\\mcromv.dll - Trojan-GameThief.Win32.OnLineGames.tcvv (DrWEB: Trojan.PWS.Wsgame.731
- c:\\windows\\system32\\mstimewd.dll - Trojan-GameThief.Win32.OnLineGames.tdvn (DrWEB: Trojan.PWS.Wsgame.7387)
- c:\\windows\\system32\\nwapi32dj.dll - Trojan-GameThief.Win32.OnLineGames.tdxi (DrWEB: Trojan.PWS.Wsgame.7370)
- c:\\windows\\system32\\pjygwxvo.dll - Trojan-GameThief.Win32.OnLineGames.tfyp (DrWEB: Trojan.PWS.Wsgame.7397)
- c:\\windows\\system32\\rasdlgcq.dll - Trojan-GameThief.Win32.OnLineGames.tbpe (DrWEB: Trojan.PWS.Wsgame.7282)
- c:\\windows\\system32\\scrruncqsj.dll - Trojan-GameThief.Win32.OnLineGames.sknp (DrWEB: BackDoor.Ahn.15)
- c:\\windows\\system32\\slbiopfs2.dll - Trojan-GameThief.Win32.OnLineGames.theo (DrWEB: Trojan.PWS.Wsgame.7403)
- c:\\windows\\system32\\tscfgwmijxsj.dll - Trojan-GameThief.Win32.OnLineGames.tell (DrWEB: Trojan.PWS.Wsgame.7376)
- c:\\windows\\system32\\twainyy.dll - Trojan-GameThief.Win32.OnLineGames.tbpn (DrWEB: Trojan.PWS.Wsgame.7240)
- c:\\windows\\system32\\welyri.dll - Trojan-GameThief.Win32.OnLineGames.sjub (DrWEB: Trojan.PWS.Wsgame.6480)
- c:\\windows\\system32\\xolehlpjh.dll - Trojan-GameThief.Win32.OnLineGames.tgtq (DrWEB: Trojan.PWS.Wsgame.7400)
- c:\\windows\\temp\\28.gif - Trojan-GameThief.Win32.OnLineGames.szcu (DrWEB: Trojan.PWS.Gamania.13135)
- c:\\windows\\update.dll - Trojan.Win32.Qhost.kke (DrWEB: Trojan.Hoster.237)
Уважаемый(ая) GREET, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.