пациент тормозит, произвольно переключаются страницы и окна эксплорера

**xxxp** · 22.02.2010, 20:10

Здравствуйте снова

Посмотрите, пожалуйста, почему так тормозит комп и переключаются назад-вперед страницы в браузере и в эксплорере.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**CyberHelper** · 22.02.2010, 20:24

1. Пожалуйста, выполните скрипт AVZ:

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('31677682.sys', 'CHQ=N');
 QuarantineFile('ATKOGL32.dll', 'CHQ=N');
 QuarantineFile('c:\ent32\ent32.exe', 'CHQ=N');
 QuarantineFile('C:\Ent32\msgBBox.dll', 'CHQ=N');
 QuarantineFile('hpt3xx.sys', 'CHQ=N');
 QuarantineFile('none', 'CHQ=N');
 QuarantineFile('SDEvents.dll', 'CHQ=N');
 QuarantineFile('setup_9.0.0.722_22.02.2010_16-05drv', 'CHQ=N');
 QuarantineFile('shdocvw.dll', 'CHQ=N');
 QuarantineFile('SYMIDSCO.sys', 'CHQ=N');
 QuarantineFile('WgaLogon.dll', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\system32\Enterprise32.dll', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\system32\Enterprise32USB.dll', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\system32\nnnoLBqO', 'CHQ=N');
 QuarantineFile('c:\windows\system32\serent32.exe', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\3167768.sys', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\31677681.sys', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\System32\Drivers\dump_IdeChnDr.sys', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\system32\Drivers\WBHWDOCT.sys', 'CHQ=N');
 QuarantineFile('C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\System32\mswsock.dll', 'CHQ=G');
 QuarantineFile('C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe', 'CHQ=G');
 BC_QrFile('C:\WINDOWS\system32\nnnoLBqO');
 BC_QrFile('C:\WINDOWS\system32\DRIVERS\3167768.sys');
 BC_QrFile('C:\WINDOWS\system32\DRIVERS\31677681.sys');
 BC_QrFile('C:\WINDOWS\System32\Drivers\dump_IdeChnDr.sys');
 BC_QrFile('C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe');
 BC_Activate;
 RebootWindows(true);
end.

В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean

**xxxp** · 22.02.2010, 22:50

ребята, так какой скрипт выполнить - 1 или 2?

**Шапельский Александр** · 22.02.2010, 22:51

Выполните первый, закачайте карантин.

**xxxp** · 23.02.2010, 01:50

Теперь вместо дом. страницы открываются какие-то троянские страницы..с утра еще infobox.ru вместо дом. страницы открывался infobox.ru

Еще вспомнил, пару дней назад виндоза предложила вылечить трояны, а я по запаре нажал отмену...

**Шапельский Александр** · 23.02.2010, 10:52

Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\nnnoLBqO.dll','');
 DeleteFile('C:\WINDOWS\system32\nnnoLBqO.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(2);
Executerepair(3);
Executerepair(4);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления

Обновите базы, сделайте новые логи.

Сделайте лог MBAM.

**xxxp** · 24.02.2010, 04:52

Вложение 219329
Вложение 219330
Вложение 219331

**Шапельский Александр** · 24.02.2010, 10:28

Сообщение от shapel

Сделайте лог MBAM.

Сделайте этот лог.

**xxxp** · 24.02.2010, 12:15

не заметил сразу, извините
Вложение 219389

**Шапельский Александр** · 24.02.2010, 12:39

Выполните скрипт, надо проверить один файл

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
 BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Удалите в MBAM

Код:

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражено файлов:
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM5fd83879.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM5fd83879.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.

Сделайте новый лог MBAM

**xxxp** · 24.02.2010, 13:02

а можно сначала MBAM, а потом скрипт AVZ? А то MBAM долго сканит.

**Шапельский Александр** · 24.02.2010, 14:40

Сообщение от xxxp

а можно сначала MBAM, а потом скрипт AVZ? А то MBAM долго сканит.

Делайте как Вам удобнее.

**xxxp** · 24.02.2010, 17:17

Вложение 219488

**Шапельский Александр** · 24.02.2010, 17:51

C:\WINDOWS\system32\drivers\oreans32.sys--пришлите этот файл на анализ.
Как правильно искать и присылать файлы, см. здесь http://virusinfo.info/showthread.php?t=4567

**xxxp** · 24.02.2010, 18:36

закачал, поменял в ссылке http://virusinfo.info/showthread.php?p=592945
букву p на t

Не указана ссылка на тему. Должен быть линк вида http://virusinfo.info/showthread.php?t=XXXX на существующую тему на форуме

AVZ не смог закарантинить этот файл, пришлось сделать вручную

**Шапельский Александр** · 24.02.2010, 22:02

Сообщение от xxxp

закачал, поменял в ссылке http://virusinfo.info/showthread.php?p=592945
букву p на t

AVZ не смог закарантинить этот файл, пришлось сделать вручную

Неправильно указали тему, пришлось "перезалить" архив. Файл чистый, что с проблемой?

**xxxp** · 25.02.2010, 01:16

точно, неправильно. Но Вы мой файл получили всё-таки. Проблем вроде нет, большое спасибо за помощь.
я наверное, попозже создам еще одну тему, т.к. у компьютера, с которым у пациента общая местная сеть, похожие симптомы...

**CyberHelper** · 26.02.2010, 01:16

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 16
В ходе лечения вредоносные программы в карантинах не обнаружены

пациент тормозит, произвольно переключаются страницы и окна эксплорера (заявка № 72007)

Опции темы

пациент тормозит, произвольно переключаются страницы и окна эксплорера

теперь так

новые логи

Итог лечения

Похожие темы

Произвольно закрываются окна office-приложений

Не переключаются языки и не запоминает настройки панели управления.

IE не открывается, приложения виснут и не переключаются

произвольно открываются окна InternetExplorer

Метки для этой темы

Ваши права в разделе