Проверил CureIt, нашел несколько вирусов, но проблема осталась. Компьютер сильно тупит.
Проверил CureIt, нашел несколько вирусов, но проблема осталась. Компьютер сильно тупит.
Профиксить:
Выполнить скрипт:Код:F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
Сделать заново логи.Код:begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\autorun.wsh',''); QuarantineFile('C:\WINDOWS\system32\sejurogyt.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\dooca.exe',''); QuarantineFile('C:\WINDOWS\system32\jouttorareb.exe',''); QuarantineFile('C:\WINDOWS\system32\quynoute.exe',''); DeleteService('dyvoyejse7ed'); QuarantineFile('c:\windows\system32\wawoul.exe',''); DeleteFile('c:\windows\system32\wawoul.exe'); DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\dooca.exe'); DeleteFile('C:\WINDOWS\system32\sejurogyt.exe'); DeleteFile('C:\autorun.wsh'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\test\DoctorWeb\Quarantine\vxohau.cmd',''); QuarantineFile('fusstub.dll',''); QuarantineFile('C:\WINDOWS\system32\sejurogyt.exe',''); QuarantineFile('C:\WINDOWS\system32\fygi.exe',''); QuarantineFile('C:\WINDOWS\qgfkpog.aux',''); DeleteService('sedyuuievewy0a'); SetServiceStart('pwl2inyuienb', 4); DeleteService('pwl2inyuienb'); TerminateProcessByName('c:\windows\system32\quynoute.exe'); QuarantineFile('c:\windows\system32\quynoute.exe',''); TerminateProcessByName('c:\documents and settings\test\application data\microsoft\doopahettid.exe'); QuarantineFile('c:\documents and settings\test\application data\microsoft\doopahettid.exe',''); DeleteFile('c:\documents and settings\test\application data\microsoft\doopahettid.exe'); DeleteFile('c:\windows\system32\quynoute.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1989867367-1470310274-3491535484-1008\Software\Microsoft\Windows\CurrentVersion\Run','quoobyzou'); DeleteFile('C:\WINDOWS\qgfkpog.aux'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux'); DeleteFile('C:\WINDOWS\system32\fygi.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wiloowe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','quoobyzou'); DeleteFile('C:\WINDOWS\system32\sejurogyt.exe'); DeleteFile('C:\Documents and Settings\test\DoctorWeb\Quarantine\vxohau.cmd'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин загрузил.
Логи получились только avz и hijack
gmer при экспресс проверке отваливается.
В журнале событий windows
Через несколько минут BSODКод HTML:Тип события: Ошибка Источник события: Application Error Категория события: Отсутствует Код события: 1000 Дата: 27.12.2009 Время: 11:27:09 Пользователь: Н/Д Компьютер: NOUTE Описание: Ошибка приложения gvgcqnbi.exe, версия 1.0.15.15281, модуль gvgcqnbi.exe, версия 1.0.15.15281, адрес 0x0005c887. Данные: 0000: 41 70 70 6c 69 63 61 74 Applicat 0008: 69 6f 6e 20 46 61 69 6c ion Fail 0010: 75 72 65 20 20 67 76 67 ure gvg 0018: 63 71 6e 62 69 2e 65 78 cqnbi.ex 0020: 65 20 31 2e 30 2e 31 35 e 1.0.15 0028: 2e 31 35 32 38 31 20 69 .15281 i 0030: 6e 20 67 76 67 63 71 6e n gvgcqn 0038: 62 69 2e 65 78 65 20 31 bi.exe 1 0040: 2e 30 2e 31 35 2e 31 35 .0.15.15 0048: 32 38 31 20 61 74 20 6f 281 at o 0050: 66 66 73 65 74 20 30 30 ffset 00 0058: 30 35 63 38 38 37 0d 0a 05c887..
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\byvapynem.exe',''); QuarantineFile('c:\windows\system32\jouttorareb.exe',''); TerminateProcessByName('c:\windows\system32\jouttorareb.exe'); DeleteFile('c:\windows\system32\jouttorareb.exe'); DeleteFile('C:\WINDOWS\system32\byvapynem.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kocoo'); DeleteFile('C:\WINDOWS\system32\sejurogyt.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','quoobyzou'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
В карантине пусто
логи выкладываю, gmer так и закрывается с ошибкой
Последний раз редактировалось expe; 27.12.2009 в 17:23.
И еще...
В оснастке Службы висит какой-то ICF без описания, состояние отключено, исполняемый файл C:\WINDOWS\system32\svchost.exe:exe.exe
вроде его CureIt удалил, но в оснастке остатки какие то висят.
И я хоть те логи кидаю? всмысли мне их кидать сразу после вашего скрипта или после вашего скрипта опять выполнять стандартные скрипты № 2 и 3
P.S.
Загрузка процессора 100% процессом System
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\test\application data\microsoft\dooca.exe'); DeleteFile('C:\Documents and Settings\test\Application Data\Microsoft\sejurogyt.exe'); DeleteFile('C:\Documents and Settings\test\Application Data\Microsoft\dooca.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1989867367-1470310274-3491535484-1008\Software\Microsoft\Windows\CurrentVersion\Run','wiloowe'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1989867367-1470310274-3491535484-1008\Software\Microsoft\Windows\CurrentVersion\Run','quoobyzou'); DeleteFile('c:\documents and settings\test\application data\microsoft\dooca.exe'); BC_DeleteFile('c:\documents and settings\test\application data\microsoft\dooca.exe'); BC_DeleteFile('C:\Documents and Settings\test\Application Data\Microsoft\sejurogyt.exe'); BC_DeleteFile('C:\Documents and Settings\test\Application Data\Microsoft\dooca.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118
Сделайте новые логи.
Скрипт выполнил.
Логи новые сделал
Скачал заного gmer и запустил от имени администратора. Он опять закрылся с ошибкой:
Код HTML:Тип события: Ошибка Источник события: Application Error Категория события: Отсутствует Код события: 1000 Дата: 28.12.2009 Время: 2:02:04 Пользователь: Н/Д Компьютер: NOUTE Описание: Ошибка приложения h78ixmos.exe, версия 1.0.15.15281, модуль h78ixmos.exe, версия 1.0.15.15281, адрес 0x0005c887. Данные: 0000: 41 70 70 6c 69 63 61 74 Applicat 0008: 69 6f 6e 20 46 61 69 6c ion Fail 0010: 75 72 65 20 20 68 37 38 ure h78 0018: 69 78 6d 6f 73 2e 65 78 ixmos.ex 0020: 65 20 31 2e 30 2e 31 35 e 1.0.15 0028: 2e 31 35 32 38 31 20 69 .15281 i 0030: 6e 20 68 37 38 69 78 6d n h78ixm 0038: 6f 73 2e 65 78 65 20 31 os.exe 1 0040: 2e 30 2e 31 35 2e 31 35 .0.15.15 0048: 32 38 31 20 61 74 20 6f 281 at o 0050: 66 66 73 65 74 20 30 30 ffset 00 0058: 30 35 63 38 38 37 0d 0a 05c887..
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=58309
Целая история с запуском ComboFix была, но я ее наверно описывать не буду. Вот в общем еле как получил лог.
Системе после фикса стало полегче уже))
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Временно выключите антивирус, firewall и другое защитное программное обеспечение
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "2541:TCP"- FileLook:: DirLook::
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('c:\windows\system32\autorun.bin',''); QuarantineFile('C:\iperf.exe',''); QuarantineFile('c:\windows\system32\dooca.exe',''); end.
Скрипт выполнил, лог прикрепляю. Карантин отправил.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_ImportDeletedList; RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\nyovqehk'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet002\Services\nyovqehk'); DeleteFile('c:\windows\system32\dooca.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Cдалаете логи avz+лог gmer.
Скрипт выполнил. Логи только AVZ, с Gmer не получается. Зато он уже запускается, и проходит автоматическая экспресс-проверка. Дальше жму Scan, он проверяет, проверяет и потом на Device\porte40 (или как-то так) вылазиет ошибка с отчетом:
Код HTML:Тип события: Ошибка Источник события: Application Error Категория события: Отсутствует Код события: 1000 Дата: 02.01.2010 Время: 13:04:07 Пользователь: Н/Д Компьютер: NOUTE Описание: Ошибка приложения h78ixmos.exe, версия 1.0.15.15281, модуль h78ixmos.exe, версия 1.0.15.15281, адрес 0x0000c4b1. Данные: 0000: 41 70 70 6c 69 63 61 74 Applicat 0008: 69 6f 6e 20 46 61 69 6c ion Fail 0010: 75 72 65 20 20 68 37 38 ure h78 0018: 69 78 6d 6f 73 2e 65 78 ixmos.ex 0020: 65 20 31 2e 30 2e 31 35 e 1.0.15 0028: 2e 31 35 32 38 31 20 69 .15281 i 0030: 6e 20 68 37 38 69 78 6d n h78ixm 0038: 6f 73 2e 65 78 65 20 31 os.exe 1 0040: 2e 30 2e 31 35 2e 31 35 .0.15.15 0048: 32 38 31 20 61 74 20 6f 281 at o 0050: 66 66 73 65 74 20 30 30 ffset 00 0058: 30 30 63 34 62 31 0d 0a 00c4b1..
Метку с Devices уберите перед созданием лога gmer и попробуйте еще раз
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде получилось
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Сделайте новый лог gmer.Код:h78ixmos.exe -del file "C:\WINDOWS\system32\duirb.dll" h78ixmos.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nyovqehk" h78ixmos.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\nyovqehk" h78ixmos.exe -reboot
Выполните скрипт в avz
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\muis\svchost.exe',''); end.
Сделайте лог gmer.
Все выполнил, вот лог и карантин.
Уважаемый(ая) expe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.