Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Стал тормозить инет, аваст постоянно выдаёт сообщение они наличии руткита в системе (заявка № 88583)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36

    Стал тормозить инет, аваст постоянно выдаёт сообщение они наличии руткита в системе

    Добрый день, помогите пожалуйста, несколько дней назад скорость соединение с инетом значительно упала, фаерфокс вообще отказывался запускать постоянно падал с ошибкой, сайты начали открываться по 10 минут, проводил лечение авастом во время загрузки, вроде наладилось, сегодня опять двадцать пять, аваст кричит о рутките в системе а походу удалить не может, логи прикладываю
    Последний раз редактировалось smeley; 05.10.2010 в 07:21.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Добрый день.
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
     QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\64721.exe','');
     DeleteFile('C:\WINDOWS\system32\rescue32.exe');
     DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\64721.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    RebootWindows(true);
    end.


    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  4. #3
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36
    новые логи
    Последний раз редактировалось smeley; 05.10.2010 в 07:21.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    ClearQuarantine;
     QuarantineFile('C:\Documents and Settings\user\Application Data\juzjf.exe','');
     QuarantineFile('C:\Documents and Settings\user\ctfmon.exe,explorer.exe,C:\Documents and Settings\user\Application Data\juzjf.exe','');
     QuarantineFile('C:\Documents and Settings\user\ctfmon.exe','');
     QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\38887.exe','');
     DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\38887.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AutoStart');
     DeleteFile('C:\Documents and Settings\user\ctfmon.exe');
     DeleteFile('C:\Documents and Settings\user\ctfmon.exe,explorer.exe,C:\Documents and Settings\user\Application Data\juzjf.exe');
     DeleteFile('C:\Documents and Settings\user\Application Data\juzjf.exe');
    DeleteFileMask('C:\DOCUME~1\user\LOCALS~1\Temp\', '*.exe', true);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    ExecuteRepair(16);
    ExecuteRepair(8);
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  6. #5
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36
    карантин выслал, новые логи прикладываю
    Последний раз редактировалось smeley; 05.10.2010 в 07:21.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Интересно, с каждым шагом что-то новое.
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В HiJackThis пофиксите:

    Код:
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    В AVZ выполните скрипт:

    Код:
    begin
    ExecuteRepair(6);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    ClearQuarantine;
     TerminateProcessByName('c:\windows\system32\userini.exe');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\vde5odu0.sys','');
     QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('c:\windows\system32\userini.exe','');
     DeleteFile('c:\windows\system32\userini.exe');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('C:\Documents and Settings\user\Application Data\juzjf.exe');
    DeleteFileMask('C:\Documents and Settings\user\Local Settings\Temp\', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteRepair(8);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  8. #7
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36
    карантин выслал, сейчас делаю логи

  9. #8
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36
    логи готовы
    Последний раз редактировалось smeley; 05.10.2010 в 07:21.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    ClearQuarantine;
     QuarantineFile('kqmzmofx.sys','');
     QuarantineFile('klwerzef.sys','');
     QuarantineFile('hkdtgimz.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\kqmzmofx.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\klwerzef.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\hkdtgimz.sys','');
     DeleteFile('hkdtgimz.sys');
     BC_DeleteSvc('hkdtgimz');
     DeleteFile('klwerzef.sys');
     BC_DeleteSvc('klwerzef');
     DeleteFile('kqmzmofx.sys');
     BC_DeleteSvc('kqmzmofx');
    QuarantineFileF('%system32%', '*.exe, *.sys', false,'', 0, 0, '1.09.2010', '24.09.2010');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    +Сделайте лог MBAM
    Paula rhei.
    Поддержать проект можно тут

  11. #10
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36

    Thumbs up

    логи и карантин
    Последний раз редактировалось smeley; 05.10.2010 в 07:21.

  12. #11
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36
    уважаемые хелперы вы про меня не забыли, долечите мой комп пожалуйста

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Удалите в MBAM:

    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.dll (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\bho_myjavacore.mjcore (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\bho_myjavacore.mjcore.1 (Trojan.BHO) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
    
    Зараженные папки:
    C:\Documents and Settings\user\Application Data\Facegame (Trojan.Agent) -> No action taken.
    C:\Program Files\Mjcore (Trojan.BHO) -> No action taken.
    C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
    
    C:\Program Files\MyCentria\MyCentriaUninstall.exe (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox\adcentria.uid (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox\adcentria.xml (Adware.MyCentria) -> No action taken.
    C:\Documents and Settings\user\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    Повторите лог MBAM.
    Paula rhei.
    Поддержать проект можно тут

  14. #13
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36
    лог авз, сейчас качаю обновления и устанавливаю
    Последний раз редактировалось smeley; 05.10.2010 в 07:21.

  15. #14
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36
    лог авз, сейчас качаю обновления и устанавливаю, mbam обнаружил только отключенные уведомления брандмауэра
    Последний раз редактировалось smeley; 05.10.2010 в 07:21.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,140
    Вес репутации
    929
    Лог чистый. Установите обновления.

  17. #16
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36
    после установки обновлений, подключился к интернету с целью обновления аваста, и тут АВАСТ выдал окошко с собщением, что определен вирс Win 32: Brdolab-DS [Trj] по адресу C:\WINDOWS\system 32\wbem\grpconv.exe.
    инет все еще тормозит, может какая то зараза еще есть, логи прикладываю
    Последний раз редактировалось smeley; 05.10.2010 в 07:21.

  18. #17
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36
    аваст выдал также сообщение о блокировке сайт, может это поможет в решение проблемы
    Последний раз редактировалось smeley; 05.10.2010 в 07:21.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,140
    Вес репутации
    929
    Сделайте лог ComboFix

  20. #19
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    123
    Вес репутации
    36

    Thumbs up

    лог
    Последний раз редактировалось smeley; 05.10.2010 в 07:21.

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,140
    Вес репутации
    929
    Выполните скрипт в AVZ:
    Код:
    begin
     SetAVZGuardStatus(true);
     DeleteFile('c:\windows\system32\drivers\bocjrtun.sys ');
     DeleteFile('c:\windows\system32\drivers\necbunqn.sys ');
     DeleteFile('c:\windows\system32\drivers\nxrqiklu.sys ');
     DeleteFile('c:\windows\system32\drivers\ofxnksbh.sys ');
     DeleteFile('c:\windows\system32\drivers\znmororj.sys ');
     DeleteFile('c:\windows\system32\drivers\cvljcorr.sys ');
     DeleteFile('c:\windows\system32\drivers\klnrnerv.sys ');
     DeleteFile('c:\windows\system32\drivers\bzjobopm.sys ');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    повторите лог CF

  • Уважаемый(ая) smeley, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 26.04.2012, 20:02
    2. стал тормозить инет
      От nomiDs в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.08.2010, 21:43
    3. Ответов: 13
      Последнее сообщение: 28.06.2009, 19:16
    4. Ответов: 5
      Последнее сообщение: 22.02.2009, 06:40
    5. AVG 7.5 выдаёт сообщение о наличии вируса
      От mak83 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01524 seconds with 16 queries