Показано с 1 по 13 из 13.

Нестабильная и медленная работа PC после заражения. (заявка № 86194)

  1. #1
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    28

    Exclamation Нестабильная и медленная работа PC после заражения.

    Доброго времени суток. Прежде всего прошу прощения за неинформативный заголовок. Но на это есть причины. Итак...

    В начале PC был заражен фиш-программой из серии "Шли деньги - баннер пропадет". Он был успешно прибит. Затем руками удалил из автозагрузки распаковщик для троянца. Дополнительно система была протестированна CureIt. Но судя по всему в системе или до сих есть, или оставил свой след некий вредноносный код. Было отключено восстановление системы и руками заменен (судя по заголовку) модифицированный Explorer.exe
    Система вроде как работает, но явно не так как раньше.
    1.) Очень медленная загрузка и вход в домен. С момента логона до появления рабочего стола может пройти до 2-3 минут. Иногда Рабочий Стол и вовсе не появляется, пока не нажмешь CTRL+ALT+DEL.
    2.) При открытии Моего Компьютера проиcходит зависание, но он все таки открывается.
    3.) При попытке доступа на сетевой диск происходит зависание. Лечится выносом и перезапуском процесса Explorer.exe.

    Логи указанные в Правилах прилагаются. Заранее благодарен. Спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    28
    P.S. Запустить SFC не удается.
    Код:
    Защита файлов Windows не смогла запустить сканирование защищенных системных файлов.
    
    Код ошибки: 0x000006ba [Сервер RPC недоступен.].

  4. #3
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(20);
     BC_Activate;
     SetAVZPMStatus(True);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи АВЗ

    - Сделайте лог Гмер

  5. #4
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    28
    Спасибо за ответ. И так...
    Все выполнил. Прикрепляю файл quarantine.zip
    С grem выходит странная вещь. При начальном скане вылезает окошко с надписью, что мол не хотите ли Full Scan. Если его запустить, то при сканировании службы zwopdd.sys вывыливается BSOD и в перезагрузку. Тем не мение вот лог от быстрого скана.
    Последний раз редактировалось pig; 24.08.2010 в 13:14. Причина: Карантин в теме неуместен. Загрузите правильно

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Цитата Сообщение от Olejah Посмотреть сообщение
    - Повторите логи АВЗ
    А как с этим?

  7. #6
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    28
    Прошу прощения. В спешке ошибся и неправильно загрузил Карантин.
    Сделал как надо. Результат:
    Код:
    Файл сохранён как	100824_142639_quarantine_4c739e5fe8278.zip
    Размер файла	6867
    MD5	cdaa062133ea9237bbcafee177938665
    - Повторите логи АВЗ
    А что имеется в виду? Я не совсем понял, честно говоря.

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Нужно сделать новые логи АВЗ - virusinfo_syscheck.zip и virusinfo_syscure.zip

  9. #8
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    28
    Понял... Пожалуйста.

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Скачайте "OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по zwopdd.sys и выберите "Turn Run Off". Перезагрузку подтвердите.

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);    
     QuarantineFile('C:\WINDOWS\system32\Drivers\zwopdd.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\zwopdd.sys');          
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи АВЗ

  11. #10
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    28
    Две новости. Одна хорошая и одна плохая. Начну с плохой.
    Перед OSAM попробывал Autoruns и Starter. В них zwopdd.sys не видно. В OSAM видно. Спасибо за совет. Возьму на вооружение.
    Выполнил все скрипты и обязательно их залью. А вот с самим файлом zwopdd.sys проблема. Короче я его похерил. Точнее не я а Avira. Я совсем про нее забыл и не отключил и она этот файл и прибила. Судя по всему он сам себя уже не защищал. Приношу извинения за то, что не смог помочь.
    А хорошая новость в том, что все вроде нормально. Искреннее спасибо Olejah и вообще всему VirusInfo ! Низкий поклон. Хотя может это еще и не все... (тьфу-тьфу-тьфу).

    P.S. Нескромный вопрос... Что посоветуете для защиты? Avira пропустила этот код и я почему то уверен, что и другие AV сделали бы так же. Видно проблемы у них с rootkit-ами (если это был он). Спасибо!

  12. #11
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    В логах никаких угроз не вижу. Жалоб точно никаких нету?

    Для защиты советуем почитать книгу, автором которой является координатор проекта ВирусИнфо - Безопасный Интернет. Универсальная защита для Windows ME - Vista, там рассказывается всё, о безопасной настройке системы.

    Добавлено через 1 минуту

    Рекомендуем также - обновить - Internet Explorer v7.00 до восьмой версии, даже если Вы им не пользуетесь

    - Обновить все продукты от Adobe с официального сайта.
    Последний раз редактировалось olejah; 25.08.2010 в 12:01. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    28
    Извиняюсь за задержку с ответом - дела насущные...
    Спасибо за инфу! А так да, жалоб нет. Еще раз спасибо!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.caz ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4672676, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )


  • Уважаемый(ая) Skymmer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Нестабильная работа после восстановления
      От Мартина в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.12.2010, 22:11
    2. Ответов: 1
      Последнее сообщение: 31.12.2009, 15:38
    3. Ответов: 8
      Последнее сообщение: 19.10.2009, 01:40
    4. Ответов: 4
      Последнее сообщение: 15.07.2009, 12:05
    5. Ответов: 4
      Последнее сообщение: 07.11.2008, 22:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00532 seconds with 16 queries