Показано с 1 по 15 из 15.

Сильно подозреваю наличие "хряни"... (заявка № 75087)

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2010
    Адрес
    Kiev
    Сообщений
    111
    Вес репутации
    29

    Arrow Сильно подозреваю наличие "хряни"...

    Компьютер с "бесчестной операционкой" очччень сильно тормозит когда грузится. Сначала все проходит нормально, а через минуту-другую блокируется все, кроме рабочего стола. Подвисание может продлиться от 5 до 15 минут. Потом работа возобновляется до нормальной, но иногда (совершенно непонятно почему, даже в состоянии покоя, т.е. без работы за компом) подвисание может повториться, но на меньшее время.
    Прошу помочь.
    Последний раз редактировалось vgm; 09.04.2010 в 18:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Valera\update.exe','');
     QuarantineFile('C:\Documents and Settings\Valera\Главное меню\Программы\Автозагрузка\syspck32.exe','');
     DeleteFile('C:\Documents and Settings\Valera\Главное меню\Программы\Автозагрузка\syspck32.exe');
     DeleteFile('C:\Documents and Settings\Valera\update.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

  4. #3
    Junior Member Репутация
    Регистрация
    12.01.2010
    Адрес
    Kiev
    Сообщений
    111
    Вес репутации
    29
    После выполнения скрипта ситуация не изменилась
    Вот тновые файлики
    Последний раз редактировалось vgm; 09.04.2010 в 18:19.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}');
     DelBHO('{100EB1FD-D03E-47FD-81F3-EE91287F9465}');
     QuarantineFile('C:\Program Files\ShoppingReport\Bin\2.6.58\ShoppingReport.dll','');
     DeleteFile('C:\Program Files\ShoppingReport\Bin\2.6.58\ShoppingReport.dll');
     DeleteFilemask('C:\Program Files\ShoppingReport','*.*',true);
     DeleteDirectory('C:\Program Files\ShoppingReport');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    Executerepair(8);
    Executerepair(9); 
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    ExecuteWizard('SCU', 2, 2, true);
    ExecuteWizard('PRT', 2, 2, true);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    Сделайте лог MBAM
    Последний раз редактировалось Шапельский Александр; 01.04.2010 в 16:13.

  6. #5
    Junior Member Репутация
    Регистрация
    12.01.2010
    Адрес
    Kiev
    Сообщений
    111
    Вес репутации
    29
    Было бы хорошо, но!
    Проверка синтаксиса скрипта выдает: "Ошибка:To many actual parameters в позиции 8:12"
    Поэтому скрипт пока не запускал

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    12.01.2010
    Адрес
    Kiev
    Сообщений
    111
    Вес репутации
    29
    Файл сохранён как 100401_194253_virusinfo_cure_4bb4befdd7c08.zip
    Размер файла 615128
    MD5 481b4b368fafba98123c38a21c43c33b
    -------------------------------------------------------------------------
    И новая поцайка логов...

    P.S. Можно не сегодня отвечать -- мне бы к часам 9-10 завтрашнего утра получить от вас рекомендации по "необработаным кроликам"...
    Последний раз редактировалось vgm; 09.04.2010 в 18:19.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{20ea9658-6bc3-4599-a87d-6371fe9295fc} (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{a16ad1e9-f69a-45af-9462-b1c286708842} (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{c9ccbb35-d123-4a31-affc-9b2933132116} (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{cdca70d8-c6a6-49ee-9bed-7429d6c477a2} (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{d136987f-e1c4-4ccc-a220-893df03ec5df} (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{e343edfc-1e6c-4cb5-aa29-e9c922641c80} (Adware.ShopperReports) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\media project (Trojan.Zlob) -> No action taken.
    HKEY_CLASSES_ROOT\multimediaControls.chl (Trojan.Zlob) -> No action taken.
    HKEY_CLASSES_ROOT\shoppingreport.hbax (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\shoppingreport.hbax.1 (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\shoppingreport.hbinfoband (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\shoppingreport.hbinfoband.1 (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\shoppingreport.iebutton (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\shoppingreport.iebutton.1 (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\shoppingreport.iebuttona (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\shoppingreport.iebuttona.1 (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\shoppingreport.rprtctrl (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\shoppingreport.rprtctrl.1 (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\xvideoplugin.jetmimefiltr (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\xvideoplugin.jetmimefiltr.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin.1 (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\NetProject (Trojan.Zlob) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport (Adware.ShopperReports) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    
    Зараженные папки:
    C:\Documents and Settings\Valera\Application Data\ShoppingReport (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\db (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\dwld (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\report (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\res2 (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\LocalService\Application Data\twain_32 (Trojan.Zbot) -> No action taken.
    C:\Documents and Settings\NetworkService\Application Data\twain_32 (Trojan.Zbot) -> No action taken.
    C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
    C:\Program Files\NetProject (Trojan.Zlob) -> No action taken.
    C:\Program Files\ShoppingReport (Adware.ShopperReports) -> No action taken.
    C:\Program Files\ShoppingReport\Bin (Adware.ShopperReports) -> No action taken.
    C:\Program Files\ShoppingReport\Bin\2.6.58 (Adware.ShopperReports) -> No action taken.
    C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\Config.xml (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\db\Aliases.dbs (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\db\Sites.dbs (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\dwld\WhiteList.xip (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\report\aggr_storage.xml (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\report\send_storage.xml (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\res2\WhiteList.dbs (Adware.ShopperReports) -> No action taken.
    C:\Documents and Settings\LocalService\Application Data\twain_32\user.ds (Trojan.Zbot) -> No action taken.
    C:\Documents and Settings\NetworkService\Application Data\twain_32\user.ds (Trojan.Zbot) -> No action taken.
    C:\Program Files\NetProject\uninst.exe (Trojan.Zlob) -> No action taken.
    C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
    C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.
    C:\Documents and Settings\Valera\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    Сделайте лог MBAM

    Добавлено через 4 минуты

    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      DeleteFilemask('C:\WINDOWS\system32\twain_32','*.*',true);
      DeleteDirectory('C:\WINDOWS\system32\twain_32);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось Шапельский Александр; 01.04.2010 в 19:05. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    12.01.2010
    Адрес
    Kiev
    Сообщений
    111
    Вес репутации
    29
    Добрый день!
    К сожалению, вчера ушел с работы и не выполнил ваши указания. Но, может быть, это даже к лучшему, т.к. сегодня с утра проапдейтил MBAM и снова им прошелся по сиситеме. Получил новые трояны и адварь... В MBAMе все пофиксил. Нужно ли теперь модифицировать скрипт для AVZ?
    В любом случае вот новый лог MBAMа.
    Последний раз редактировалось vgm; 09.04.2010 в 18:18.

  11. #10
    Junior Member Репутация
    Регистрация
    12.01.2010
    Адрес
    Kiev
    Сообщений
    111
    Вес репутации
    29
    Ребята! Можно что-то мне сказать, а то меня порвут на 1К маленьких vgm-чиков...

  12. #11
    Junior Member Репутация
    Регистрация
    12.01.2010
    Адрес
    Kiev
    Сообщений
    111
    Вес репутации
    29
    Выполнил предложенный скрипт (кстати, там в строке "DeleteDirectory('C:\WINDOWS\system32\twain_32 );" перед скобкой кавычки нехватало). Выслал карантин еще раз.

    -----
    Файл сохранён как 100402_153300_virusinfo_cure_4bb5d5ec4ba9d.zip
    Размер файла 590698
    MD5 61f86a95bdc27d93371f36440666a43e
    -----
    Перегрузились, а тормоза остались.
    Вот новые логи.

    Очень надеюсь на вашу помощь.
    Последний раз редактировалось vgm; 09.04.2010 в 18:18.

  13. #12
    Junior Member Репутация
    Регистрация
    12.01.2010
    Адрес
    Kiev
    Сообщений
    111
    Вес репутации
    29
    И что, за целый день некому было ответить? Спасибо, что хоть логи смотрели...

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Плохого не видно

    Установите SP3 (может потребоваться активация) + все новые заплатки
    Установите Internet Explorer 8
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    12.01.2010
    Адрес
    Kiev
    Сообщений
    111
    Вес репутации
    29
    Цитата Сообщение от thyrex Посмотреть сообщение
    Плохого не видно
    ...
    Значит, это суслик: его не видно, а он ЕСТЬ Тормоза-то остались...

    Добавлено через 3 часа 20 минут

    Если это интересно, то сообщаю, что "сусликом" оказалась звуковая карта...
    Последний раз редактировалось vgm; 06.04.2010 в 13:08. Причина: Добавлено

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\valera\главное меню\программы\автозагрузка\syspck32.exe - Backdoor.Win32.Bredolab.dqb ( DrWEB: Trojan.Botnetlog.126, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) vgm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 15:16
    2. Ответов: 3
      Последнее сообщение: 25.01.2012, 20:33
    3. Microsoft Baseline Security Analyzer 2.1.1 - проверка систем на предмет наличия "дыр"
      От SDA в разделе Другие программы по безопасности
      Ответов: 0
      Последнее сообщение: 24.10.2009, 13:34
    4. Подозреваю: вирус "Гидра"
      От UMGG в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 21.04.2009, 09:48
    5. Ответов: 1
      Последнее сообщение: 10.04.2008, 10:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01364 seconds with 17 queries