Показано с 1 по 10 из 10.

Комп жутко тормозил (заявка № 57834)

  1. #1
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    32

    Комп жутко тормозил

    Cureit удалил множество троянов, но AVZ пишет о проблемах:

    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919B88->035291
    Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9161CA->0352F6
    Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D7D2->03525F
    Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90DF5E->0353AA
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:GetClipboardData (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D50D9A->03566F
    Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D38C06->035919
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->03D7E1
    Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->03D808
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Функция wininet.dll:HttpQueryInfoA (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->63017353->03C955
    Функция wininet.dll:HttpQueryInfoW (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->6301FB3E->03C9A4
    Функция wininet.dll:HttpSendRequestA (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->6302E822->03D211
    Функция wininet.dll:HttpSendRequestExA (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->6308A9EE->03D2F0
    Функция wininet.dll:HttpSendRequestExW (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->6308AA47->03D2D3
    Функция wininet.dll:HttpSendRequestW (212) перехвачена, метод ProcAddressHijack.GetProcAddress ->6301F73E->03D1F4
    Функция wininet.dll:InternetCloseHandle (225) перехвачена, метод ProcAddressHijack.GetProcAddress ->63020A61->03CDCE
    Функция wininet.dll:InternetQueryDataAvailable (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->6301FEB1->03CF93
    Функция wininet.dll:InternetReadFile (277) перехвачена, метод ProcAddressHijack.GetProcAddress ->6301AC9D->03CF3A
    Функция wininet.dll:InternetReadFileExA (278) перехвачена, метод ProcAddressHijack.GetProcAddress ->630337B6->03CF75
    Функция wininet.dll:InternetReadFileExW (279) перехвачена, метод ProcAddressHijack.GetProcAddress ->6303377E->03CF57
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text

    7. Эвристичеcкая проверка системы
    >>> Подозрение на маскировку ключа реестра службы\драйвера "gbuimoo"
    Последний раз редактировалось GRomaN; 18.11.2009 в 00:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    204
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\msupdt.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\msupdt.exe');
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS');
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

    Пофиксите:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\msupdt.exe,
    Сделайте лог GMER по правилам - http://virusinfo.info/showthread.php?t=40118

    Повторите логи.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  4. #3
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    32
    пофиксить не смог, так как такой строки не было
    Последний раз редактировалось GRomaN; 18.11.2009 в 00:32.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится 4kgytwm0.exe (gmer)
    Код:
    4kgytwm0.exe -del file "C:\WINDOWS\system32\qglvxxdz.dll"
    4kgytwm0.exe -del file "C:\WINDOWS\system32\qmgr.dll"
    4kgytwm0.exe -del service gbuimoo
    4kgytwm0.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gbuimoo"
    4kgytwm0.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\gbuimoo"
    4kgytwm0.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\gbuimoo"
    4kgytwm0.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\gbuimoo"
    4kgytwm0.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится. Заплатки, рекомндованные здесь http://www.kaspersky.ru/support/wks6...?qid=208636215 установите. Лог Gmer повторите
    The Truth is Out There

  6. #5
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    32
    в протоколе AVZ вроде ничего подозрительного!

    нужно ли присылать его логи???
    Последний раз редактировалось GRomaN; 18.11.2009 в 00:32.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    204
    Да, пришлите для контроля.

    P.S. По гмеру чисто.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  8. #7
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    32
    высалаю!
    Последний раз редактировалось GRomaN; 18.11.2009 в 00:33.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    204
    Чисто. Проблемы наблюдаются?
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  10. #9
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    32
    да все ок! всем спасибо! я думаю можно закрывать тему!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\msupdt.exe - Backdoor.Win32.Donbot.b ( DrWEB: Trojan.Siggen.7854, BitDefender: Application.Generic.248035, AVAST4: Win32:Bifrose-EHR [Trj] )
      2. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.acqb

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) GRomaN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Жутко тормозит комп
      От illayj в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.06.2011, 19:50
    2. Комп жутко тормозит
      От prorock8 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.06.2010, 04:41
    3. Ответов: 14
      Последнее сообщение: 24.05.2010, 11:58
    4. Ответов: 2
      Последнее сообщение: 24.10.2009, 00:27
    5. Комп жутко тормозит!
      От dragon772 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 06:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00934 seconds with 16 queries