-
Junior Member
- Вес репутации
- 52
Проблемы с доступом в интернет, блокируются антивирусы, система тормозит.
Здравствуйте, уважаемые Гуру! История болезни следующая: -"заболел" компьютер знакомого он попросил посмотреть в чем проблема: -когда я запустил компьютер, то обнаружил кучу процессов cmd.exe в диспетчере задач (всего процессов около 80), при этом система жутко тормозила; -я пробовал запустить Dr.Web CureIt процесс отобразился в диспетчере но сам антивирус не запускался. Я переустановил Windows и поставил знакомому свой дистрибутив XP SP3, который сам использую на нескольких компьютерах без проблем уже год. Установил Nod32, обновил базы и все вроде бы закончилось нормально. Но через два дня знакомый снова позвонил и сообщил что опять проблемы. При повторном осмотре проблема повторилась, снова куча процессов cmd.exe. Снова блокируется вход на сайты антивирусов, при этом интернет очень тормозит а браузеры долго открываются. Снес Nod32 и поставил Avast Home 4.7, обновил базы и просканировал. Avast нашел кучу троянов и разных червей. На этом вроде закончилось, подозрительные процессы пропали, но через время снова появились(при этом сканер резидентной защиты у Avast все время отключен и вручную не включается). После всего я догадался отключить кабель интернет и мне удалось запустить DrWeb CureIt. При сканировании он нашел SpyBot и удалил. Перед DrWeb я запускал AVPTool, система дала сбой и появился синий экран, пришлось нажимать Reset. После перезагрузки Windows выдала отчет о сбое системы. Такой сбой был еще при сканировании DrWeb CureIt. Вот строки из последнего отчета (предыдущий не успел скопировать): C:\DOCUME~1\43CC~1\LOCALS~1\Temp\WER6a9d.dir00\Min i042110-01.dmp C:\DOCUME~1\43CC~1\LOCALS~1\Temp\WER6a9d.dir00\sys data.xml Соответственно AVPTool не удалился. Пришлось почистить CCleaner'ом. Далее я сделал все как описывается у вас в правилах, выполнил скрипты AVZ и HiJackThis (их я скачал с помощью своего компьютера и принес на диске, так как у знакомого ваш сайт не открывается), сделал логи и скинул папки LOG, Quarantine и лог hijackthis на флешку. Пишу тему соответственно со своего компьютера. Логи я прикрепляю. Прошу Вас помогите! Подскажите в чем проблема. Как вернуть систему к нормальной работе?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в hijack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
SetServiceStart('ajofeqbo', 4);
DeleteService('protect');
DeleteService('ajofeqbo');
QuarantineFile('C:\WINDOWS\system32\Drivers\ajofeqbo.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ajofeqbo.sys');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Доброго времени суток
Пофиксил, выполнил скрипт.
Выслал карантин, сделанный после скрипта.
Выкладываю новые логи.
Также хочу заметить что при запуске системы не работает кнопка F8 для вызова безопасного режима. Точнее при ее нажатии появляется окошко выбора загрузочного устройства (CD или HDD).
-
Пофиксите в HiJack
Код:
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Новые логи
1. Пофиксил
2. Скрипт выполнил
3. Архив с карантином выслал
4. Прикрепляю логи
-
Пофиксите в HiJack
Код:
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
Больше плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Пофиксил.
Не получается запустить SafeMode чтоб удалить Avast. Появляется окно выбора Boot Device.
Добавлено через 3 минуты
Поправочка: нажимаю F8 после звукового сигнала, появляется это самое окошко. Но! Потом при нажатии Esc жму F8 повторно и, о чудо, Safe Mode загрузился!
Удалил Avast с помощью их специальной утилиты. Ставлю Nod32 SS.
Пока полет нормальный после чистки в системе отображается 21 процесс.
Спасибо за помощь! С меня пиво!
Добавлено через 36 минут
У меня есть вопрос: что и как нужно сделать чтоб более не повторилось такой проблемы?
Я поставил Nod32 Smart Security. В Firefox поставил дополнение NoScript и отключил автозапуск со съемных носителей. Есть еще какие то рекомендации?
Добавлено через 55 минут
Вот первая проблема.
Обновил Smart Security, запустил проверку.
Антивирус системный диск проверил без проблем, нашел Трояна в папке Temp, изолировал.
При сканировании диска D у же в самом конце проверки снова выскочил синий экран!!! Пришлось перезагружаться.
Последний раз редактировалось mazatraitor; 24.04.2010 в 12:57.
Причина: Добавлено
Вирус Lenin.exe
Проявляется в системе постоянными сообщениями:
"Учиться, учиться и еще раз учиться!" :)
-
Проверьте диск D на наличие ошибок.
-
-
Junior Member
- Вес репутации
- 52
Спасибо! Проблем больше не наблюдается. Система работает стабильно!
Вирус Lenin.exe
Проявляется в системе постоянными сообщениями:
"Учиться, учиться и еще раз учиться!" :)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\atapidrv.sys - Trojan.Win32.Vrdapi.q ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Rootkit.34796, AVAST4: Win32:Inject-YB [Trj] )
-