Показано с 1 по 11 из 11.

Блокируется запуск nod32 и антивирусных сайтов, тормоза (заявка № 89553)

  1. #1
    Junior Member Репутация
    Регистрация
    16.09.2010
    Сообщений
    5
    Вес репутации
    27

    Exclamation Блокируется запуск nod32 и антивирусных сайтов, тормоза

    Добрый день.

    Проблема следующая. Три дня назад заметил на втором домашнем пк странность - не произошло автозагрузки NOD32, Firefox первые 10-15 минут работы системы отказывался запускаться, - вылет и его окно с предложением отправить отчет.

    Также заметно упала производительность в некоторых случаях (работа с файлами в проводнике стала медленней, копирование подтормаживало).

    Удалил NOD32, установил KIS2011 (запомнилось, что KIS устанавливался/запускался/работал под каким-то руткитом, вот и попробовал просканировать им). Он обнаружил на компьютере немного разного, но проблема осталась. Не стану грузить логами, если кратко, то найдено было:

    Deleted (2)
    Trojan program Trojan-Spy.Win32.Delf.kof
    Trojan program Exploit.Java.CVE-2009-3867

    Disinfected (2)
    Trojan program Exploit.Java.CVE-2009-3867
    Trojan program Trojan-Spy.Win32.Delf.kof
    Наверное, засело что-то посерьезней, т.к. проблема не исчезла.

    Исполнил инструкции из правил. Проверку в безопасном режиме производил через CureIt, он обнаружил/вылечил много файлов, зараженных Trojan.PWS.Ibank.212. Возможно, были еще какие-то виды, но, к сожалению, не помню - логи CureIt, насколько я понимаю, не сохраняет. Хотя, по правилам тему информацией от него забивать не стоит, так что ладно, извините )

    CureIt использовался, т.к. AVPTool вирус обнаруживал по заголовку окна (смена имени и расширения на ситуацию не влияли) и закрывал. Да и правилами, при установленном "большом" Касперском, рекомендуется он.

    ***

    Прикладываю логи AVZ и HiJackThis.
    Заранее спасибо за любую помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Дополнительно, сделайте пожалуйста лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    16.09.2010
    Сообщений
    5
    Вес репутации
    27
    Gmer не дают заработать, где-то секунд через пять после начала запуска/автоматической проверки он валится со стандартным сообщением: "abcd.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства".

    Это одинаково с оригинальным/измененным именем файла, с расширением как .exe, так и .com; и при запуске как в обычном, так и безопасном режимах.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Выполните скрипт в АВЗ -

    Код:
    begin
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\xclvqj');
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\xclvqj\Parameters');
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(8);
     ExecuteRepair(20);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    16.09.2010
    Сообщений
    5
    Вес репутации
    27
    Сделал.

    Если имелся в виду в том числе и лог Gmer, то нет, он пока не работает. Хотя скорее всё-таки о этих трех )

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление


    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);    
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\ltxynw.exe','');
     QuarantineFile('C:\WINDOWS\system32\ifqhcloe.dll','');
     DeleteFile('C:\WINDOWS\system32\ifqhcloe.dll');
     DeleteFile('C:\WINDOWS\system32\ltxynw.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\xclvqj\Parameters','ServiceDll');                
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    16.09.2010
    Сообщений
    5
    Вес репутации
    27
    Выслал quarantine.zip, прикладываю логи:

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Плохого не увидел, что с проблемой?

  10. #9
    Junior Member Репутация
    Регистрация
    16.09.2010
    Сообщений
    5
    Вес репутации
    27
    Слона-то я и не приметил

    Firefox не вылетает, eset.com/kaspersky.ru открываются, диспетчер задач теперь открывается, скрытые файлы отображаются. Красота.

    Спасибо за помощь.

    P.S.: Если возможно это узнать, - что это за была за разновидность, и через что происходит заражение?

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Разновидность отказалась идти в карантин, поэтому точно сказать не могу, что это именно было. По поводу способа заражения -
    Deleted (2)
    Trojan program Trojan-Spy.Win32.Delf.kof
    Trojan program Exploit.Java.CVE-2009-3867

    Disinfected (2)
    Trojan program Exploit.Java.CVE-2009-3867
    Trojan program Trojan-Spy.Win32.Delf.kof
    Эти строки говорят нам о том, что заражение происходило через дыры в java, нужно обновляться и ставить заплатки.

    Также - у Вас очень дырявая система -

    - Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите все важные обновления.
    - Установите IE 8 - даже если Вы им не пользуетесь.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) bac9-flcl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 13.11.2010, 13:42
    2. Ответов: 4
      Последнее сообщение: 24.01.2010, 17:11
    3. Ответов: 4
      Последнее сообщение: 02.08.2009, 21:22
    4. Ответов: 2
      Последнее сообщение: 30.06.2009, 23:01
    5. Ответов: 10
      Последнее сообщение: 22.02.2009, 05:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01426 seconds with 16 queries