Сильно подозреваю наличие "хряни"...
Компьютер с "бесчестной операционкой" очччень сильно тормозит когда грузится. Сначала все проходит нормально, а через минуту-другую блокируется все, кроме рабочего стола. Подвисание может продлиться от 5 до 15 минут. Потом работа возобновляется до нормальной, но иногда (совершенно непонятно почему, даже в состоянии покоя, т.е. без работы за компом) подвисание может повториться, но на меньшее время.
Прошу помочь.
Последний раз редактировалось vgm; 09.04.2010 в 19:19.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Valera\update.exe',''); QuarantineFile('C:\Documents and Settings\Valera\Главное меню\Программы\Автозагрузка\syspck32.exe',''); DeleteFile('C:\Documents and Settings\Valera\Главное меню\Программы\Автозагрузка\syspck32.exe'); DeleteFile('C:\Documents and Settings\Valera\update.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После выполнения скрипта ситуация не изменилась
Вот тновые файлики
Последний раз редактировалось vgm; 09.04.2010 в 19:19.
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}'); DelBHO('{100EB1FD-D03E-47FD-81F3-EE91287F9465}'); QuarantineFile('C:\Program Files\ShoppingReport\Bin\2.6.58\ShoppingReport.dll',''); DeleteFile('C:\Program Files\ShoppingReport\Bin\2.6.58\ShoppingReport.dll'); DeleteFilemask('C:\Program Files\ShoppingReport','*.*',true); DeleteDirectory('C:\Program Files\ShoppingReport'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(8); Executerepair(9); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('PRT', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM
Последний раз редактировалось Шапельский Александр; 01.04.2010 в 17:13.
Было бы хорошо, но!
Проверка синтаксиса скрипта выдает: "Ошибка:To many actual parameters в позиции 8:12"
Поэтому скрипт пока не запускал
Скрипт поправил
Файл сохранён как 100401_194253_virusinfo_cure_4bb4befdd7c08.zip
Размер файла 615128
MD5 481b4b368fafba98123c38a21c43c33b
-------------------------------------------------------------------------
И новая поцайка логов...
P.S. Можно не сегодня отвечать -- мне бы к часам 9-10 завтрашнего утра получить от вас рекомендации по "необработаным кроликам"...
Последний раз редактировалось vgm; 09.04.2010 в 19:19.
Удалите в MBAM
Сделайте лог MBAMКод:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{20ea9658-6bc3-4599-a87d-6371fe9295fc} (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a16ad1e9-f69a-45af-9462-b1c286708842} (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{c9ccbb35-d123-4a31-affc-9b2933132116} (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{cdca70d8-c6a6-49ee-9bed-7429d6c477a2} (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{d136987f-e1c4-4ccc-a220-893df03ec5df} (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{e343edfc-1e6c-4cb5-aa29-e9c922641c80} (Adware.ShopperReports) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\media project (Trojan.Zlob) -> No action taken. HKEY_CLASSES_ROOT\multimediaControls.chl (Trojan.Zlob) -> No action taken. HKEY_CLASSES_ROOT\shoppingreport.hbax (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\shoppingreport.hbax.1 (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\shoppingreport.hbinfoband (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\shoppingreport.hbinfoband.1 (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\shoppingreport.iebutton (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\shoppingreport.iebutton.1 (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\shoppingreport.iebuttona (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\shoppingreport.iebuttona.1 (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\shoppingreport.rprtctrl (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\shoppingreport.rprtctrl.1 (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\xvideoplugin.jetmimefiltr (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\xvideoplugin.jetmimefiltr.1 (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin.1 (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\NetProject (Trojan.Zlob) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport (Adware.ShopperReports) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Зараженные папки: C:\Documents and Settings\Valera\Application Data\ShoppingReport (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\db (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\dwld (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\report (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\res2 (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\LocalService\Application Data\twain_32 (Trojan.Zbot) -> No action taken. C:\Documents and Settings\NetworkService\Application Data\twain_32 (Trojan.Zbot) -> No action taken. C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken. C:\Program Files\NetProject (Trojan.Zlob) -> No action taken. C:\Program Files\ShoppingReport (Adware.ShopperReports) -> No action taken. C:\Program Files\ShoppingReport\Bin (Adware.ShopperReports) -> No action taken. C:\Program Files\ShoppingReport\Bin\2.6.58 (Adware.ShopperReports) -> No action taken. C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken. Зараженные файлы: C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\Config.xml (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\db\Aliases.dbs (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\db\Sites.dbs (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\dwld\WhiteList.xip (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\report\aggr_storage.xml (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\report\send_storage.xml (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\Valera\Application Data\ShoppingReport\cs\res2\WhiteList.dbs (Adware.ShopperReports) -> No action taken. C:\Documents and Settings\LocalService\Application Data\twain_32\user.ds (Trojan.Zbot) -> No action taken. C:\Documents and Settings\NetworkService\Application Data\twain_32\user.ds (Trojan.Zbot) -> No action taken. C:\Program Files\NetProject\uninst.exe (Trojan.Zlob) -> No action taken. C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken. C:\Documents and Settings\Valera\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
Добавлено через 4 минуты
Выполните скрипт
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFilemask('C:\WINDOWS\system32\twain_32','*.*',true); DeleteDirectory('C:\WINDOWS\system32\twain_32); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Шапельский Александр; 01.04.2010 в 20:05. Причина: Добавлено
Добрый день!
К сожалению, вчера ушел с работы и не выполнил ваши указания. Но, может быть, это даже к лучшему, т.к. сегодня с утра проапдейтил MBAM и снова им прошелся по сиситеме. Получил новые трояны и адварь... В MBAMе все пофиксил. Нужно ли теперь модифицировать скрипт для AVZ?
В любом случае вот новый лог MBAMа.
Последний раз редактировалось vgm; 09.04.2010 в 19:18.
Ребята! Можно что-то мне сказать, а то меня порвут на 1К маленьких vgm-чиков...
Выполнил предложенный скрипт (кстати, там в строке "DeleteDirectory('C:\WINDOWS\system32\twain_32 );" перед скобкой кавычки нехватало). Выслал карантин еще раз.
-----
Файл сохранён как 100402_153300_virusinfo_cure_4bb5d5ec4ba9d.zip
Размер файла 590698
MD5 61f86a95bdc27d93371f36440666a43e
-----
Перегрузились, а тормоза остались.
Вот новые логи.
Очень надеюсь на вашу помощь.
Последний раз редактировалось vgm; 09.04.2010 в 19:18.
И что, за целый день некому было ответить? Спасибо, что хоть логи смотрели...
Плохого не видно
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Значит, это суслик: его не видно, а он ЕСТЬСообщение от thyrex
Тормоза-то остались...
Добавлено через 3 часа 20 минут
Если это интересно, то сообщаю, что "сусликом" оказалась звуковая карта...
Последний раз редактировалось vgm; 06.04.2010 в 14:08. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\valera\главное меню\программы\автозагрузка\syspck32.exe - Backdoor.Win32.Bredolab.dqb ( DrWEB: Trojan.Botnetlog.126, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) vgm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
