Загружен процессор.Нет инета.CHKDSK

**Jamie** · 22.05.2010, 18:59

При включении компьютера запускается CHKDSK. Далее, после "проверки" открывается окно входа в Windows, где нужно нажать ОК.
После загрузки системы ЦП занят на 100%, через несколько минут нагрузка на процессор падает до 5-10%.В интернет невозможно зайти.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**ARMA9000** · 22.05.2010, 19:57

Отключить восстановление системы, защитное ПО.
Профиксить:

Код:

O20 - Winlogon Notify: mllmj - C:\WINDOWS\system32\mllmj.dll (file missing)
O20 - Winlogon Notify: pmnnkji - pmnnkji.dll (file missing)
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\mohfilt.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\CDAC15BA.SYS','');
 QuarantineFile('I:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
 QuarantineFile('winjks32.dll','');
 QuarantineFile('pmnnkji.dll','');
 QuarantineFile('C:\WINDOWS\system32\mllmj.dll','');
 DeleteFile('C:\WINDOWS\system32\mllmj.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mllmj','DLLName');
 DeleteFile('pmnnkji.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnnkji','DLLName');
 DeleteFile('winjks32.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winjks32','DLLName');
 DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
 DeleteFile('I:\autorun.inf');
DeleteService('protect');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true); 
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи переделать.

**Jamie** · 23.05.2010, 11:58

Вот.

Извините, 2 раза залил карантин(прочитал что с паролем надо).

**ARMA9000** · 23.05.2010, 12:54

Отключить восстановление системы, защитное ПО.
Профиксить:

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\autorun.inf','');
 DeleteFile('I:\autorun.inf');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe ','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи переделать. Какие проблемы наблюдаются?

**Jamie** · 23.05.2010, 15:00

Все проблемы остались - CHKDSK при загрузке, окно входа с пользователем и паролем, ЦП 100%, инета нет.

**Шапельский Александр** · 23.05.2010, 15:17

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(14);
Executerepair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM

**Jamie** · 23.05.2010, 17:35

Вот.

**Шапельский Александр** · 23.05.2010, 18:12

Удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\mysearchtoolbar.settingsplugin (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mysearchtoolbar.settingsplugin.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{014da6ca-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{014da6cc-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{014da6c1-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{014da6c0-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{014da6c1-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{55db983c-bdbf-426f-86f0-187b02dda39b} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b5a2fe0a-844b-4ee9-a3d1-474b44e0496c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{014da6cb-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\aldd (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PSRV (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MySearch (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{b5a2fe0a-844b-4ee9-a3d1-474b44e0496c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
C:\Program Files\MySearch (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\1.bin (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\Cache (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\History (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\Settings (Adware.MyWebSearch) -> No action taken.
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\0JTLDWF7\1[1].exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv161273227681.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv381273227681.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv521273227767.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv531273140313.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv581273139881.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv781273142425.exe (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00002.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00003.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00005.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00006.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00007.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00008.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00010.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00011.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00012.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00013.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00014.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00015.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00016.dta (Trojan.Dropper) -> No action taken.
D:\AVZ\avz4\Quarantine\2010-05-22\avz00017.dta (Trojan.Dropper) -> No action taken.
C:\Program Files\MySearch\bar\1.bin\S4FFXTBR.JAR (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\1.bin\S4FFXTBR.MANIFEST (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\1.bin\S4NTSTBR.JAR (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\1.bin\S4NTSTBR.MANIFEST (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\Cache\00C3F884 (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\Cache\00C41CA6 (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\Cache\00C41F36.bmp (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\Cache\00C421D6.bmp (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\Cache\files.ini (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\History\search2 (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MySearch\bar\Settings\prevcfg2.htm (Adware.MyWebSearch) -> No action taken.
C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\User\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Explorer.exe:userini.exe (Rootkit.ADS) -> No action taken.
C:\WINDOWS\Prefetch\EXPLORER.EXE (Trojan.Agent) -> No action taken.

Сделайте лог MBAM

**Jamie** · 26.05.2010, 22:35

Спасибо, инет заработал. Процессы начали двигаться быстрее. С CHKDSK нужно, наверное, искать ответ в другом месте.

**Шапельский Александр** · 27.05.2010, 01:00

Проблемы решены?
Рекомендую:
- SP2 обновить до Service Pack 3(может потребоваться активация)
!!! перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.);
- установить Internet-Explorer 8.(даже если Вы его не используете);
- установить последние обновления системы Windows - здесь;