-
Junior Member
- Вес репутации
- 53
Сильно подозреваю наличие "хряни"...
Компьютер с "бесчестной операционкой" очччень сильно тормозит когда грузится. Сначала все проходит нормально, а через минуту-другую блокируется все, кроме рабочего стола. Подвисание может продлиться от 5 до 15 минут. Потом работа возобновляется до нормальной, но иногда (совершенно непонятно почему, даже в состоянии покоя, т.е. без работы за компом) подвисание может повториться, но на меньшее время.
Прошу помочь.
Последний раз редактировалось vgm; 09.04.2010 в 19:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Valera\update.exe','');
QuarantineFile('C:\Documents and Settings\Valera\Главное меню\Программы\Автозагрузка\syspck32.exe','');
DeleteFile('C:\Documents and Settings\Valera\Главное меню\Программы\Автозагрузка\syspck32.exe');
DeleteFile('C:\Documents and Settings\Valera\update.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 53
После выполнения скрипта ситуация не изменилась
Вот тновые файлики
Последний раз редактировалось vgm; 09.04.2010 в 19:19.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}');
DelBHO('{100EB1FD-D03E-47FD-81F3-EE91287F9465}');
QuarantineFile('C:\Program Files\ShoppingReport\Bin\2.6.58\ShoppingReport.dll','');
DeleteFile('C:\Program Files\ShoppingReport\Bin\2.6.58\ShoppingReport.dll');
DeleteFilemask('C:\Program Files\ShoppingReport','*.*',true);
DeleteDirectory('C:\Program Files\ShoppingReport');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(8);
Executerepair(9);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM
Последний раз редактировалось Шапельский Александр; 01.04.2010 в 17:13.
-
-
Junior Member
- Вес репутации
- 53
Было бы хорошо, но!
Проверка синтаксиса скрипта выдает: "Ошибка:To many actual parameters в позиции 8:12"
Поэтому скрипт пока не запускал
-
-
-
Junior Member
- Вес репутации
- 53
Файл сохранён как 100401_194253_virusinfo_cure_4bb4befdd7c08.zip
Размер файла 615128
MD5 481b4b368fafba98123c38a21c43c33b
-------------------------------------------------------------------------
И новая поцайка логов...
P.S. Можно не сегодня отвечать -- мне бы к часам 9-10 завтрашнего утра получить от вас рекомендации по "необработаным кроликам"...
Последний раз редактировалось vgm; 09.04.2010 в 19:19.
-
Удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{20ea9658-6bc3-4599-a87d-6371fe9295fc} (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a16ad1e9-f69a-45af-9462-b1c286708842} (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c9ccbb35-d123-4a31-affc-9b2933132116} (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{cdca70d8-c6a6-49ee-9bed-7429d6c477a2} (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{d136987f-e1c4-4ccc-a220-893df03ec5df} (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{e343edfc-1e6c-4cb5-aa29-e9c922641c80} (Adware.ShopperReports) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\media project (Trojan.Zlob) -> No action taken.
HKEY_CLASSES_ROOT\multimediaControls.chl (Trojan.Zlob) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbax (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbax.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebutton (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebutton.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.jetmimefiltr (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.jetmimefiltr.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin.1 (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NetProject (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport (Adware.ShopperReports) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные папки:
C:\Documents and Settings\Valera\Application Data\ShoppingReport (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\db (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\dwld (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\report (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\res2 (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\twain_32 (Trojan.Zbot) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\twain_32 (Trojan.Zbot) -> No action taken.
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\Program Files\NetProject (Trojan.Zlob) -> No action taken.
C:\Program Files\ShoppingReport (Adware.ShopperReports) -> No action taken.
C:\Program Files\ShoppingReport\Bin (Adware.ShopperReports) -> No action taken.
C:\Program Files\ShoppingReport\Bin\2.6.58 (Adware.ShopperReports) -> No action taken.
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\Config.xml (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\db\Aliases.dbs (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\db\Sites.dbs (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\dwld\WhiteList.xip (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\report\aggr_storage.xml (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\report\send_storage.xml (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\res2\WhiteList.dbs (Adware.ShopperReports) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\twain_32\user.ds (Trojan.Zbot) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\twain_32\user.ds (Trojan.Zbot) -> No action taken.
C:\Program Files\NetProject\uninst.exe (Trojan.Zlob) -> No action taken.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Valera\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
Сделайте лог MBAM
Добавлено через 4 минуты
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFilemask('C:\WINDOWS\system32\twain_32','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\twain_32);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось Шапельский Александр; 01.04.2010 в 20:05.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Добрый день!
К сожалению, вчера ушел с работы и не выполнил ваши указания. Но, может быть, это даже к лучшему, т.к. сегодня с утра проапдейтил MBAM и снова им прошелся по сиситеме. Получил новые трояны и адварь... В MBAMе все пофиксил. Нужно ли теперь модифицировать скрипт для AVZ?
В любом случае вот новый лог MBAMа.
Последний раз редактировалось vgm; 09.04.2010 в 19:18.
-
Junior Member
- Вес репутации
- 53
Ребята! Можно что-то мне сказать, а то меня порвут на 1К маленьких vgm-чиков...
-
Junior Member
- Вес репутации
- 53
Выполнил предложенный скрипт (кстати, там в строке "DeleteDirectory('C:\WINDOWS\system32\twain_32 );" перед скобкой кавычки нехватало). Выслал карантин еще раз.
-----
Файл сохранён как 100402_153300_virusinfo_cure_4bb5d5ec4ba9d.zip
Размер файла 590698
MD5 61f86a95bdc27d93371f36440666a43e
-----
Перегрузились, а тормоза остались.
Вот новые логи.
Очень надеюсь на вашу помощь.
Последний раз редактировалось vgm; 09.04.2010 в 19:18.
-
Junior Member
- Вес репутации
- 53
И что, за целый день некому было ответить? Спасибо, что хоть логи смотрели...
-
Плохого не видно
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Плохого не видно
...
Значит, это суслик: его не видно, а он ЕСТЬ Тормоза-то остались...
Добавлено через 3 часа 20 минут
Если это интересно, то сообщаю, что "сусликом" оказалась звуковая карта...
Последний раз редактировалось vgm; 06.04.2010 в 14:08.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\valera\главное меню\программы\автозагрузка\syspck32.exe - Backdoor.Win32.Bredolab.dqb ( DrWEB: Trojan.Botnetlog.126, AVAST4: Win32:Rootkit-gen [Rtk] )
-