-
Junior Member
- Вес репутации
- 50
Не открываются сайты антивирусов и снижена производительность
Изначально симптомы были такими:
1. Первым появилось снижение производительности (особенно это было заметно при запуске ресурсоемких приложений, например, начала тормозить игра GTA IV, которая раньше шла без тормозов). Через какое-то время появились более тревожные симптомы.
2. Сразу после загрузки Windows стал вылетать с ошибкой процесс explorer.exe и иногда drwtsn32.exe. После вылета explorer.exe как правило запускался повторно и работал уже без сбоев (если не запускался, то можно было запустить его через диспетчер задач).
3. При попытке открыть Оперу появлялось сообщение об ошибке ("нет доступа" или "нет прав", не помню точно), при повторной попытке Опера открывалась нормально.
4. Нельзя было зайти на сайты антивирусов
5. Когда я набирал в гугле или яндексе AVZ и нажимал "найти" - браузер закрывался
6. Не запускалиcь Nod32, AVZ, Combofix (в т.ч. в переименованном виде).
Переименованный CureIt запустился и нашел следующее:
trojan.downloader1.35871
trojan.inject.13144
trojan.downloader1.35607
trojan.PWS.Multi.200
Java.Downloader.135
Java.Downloader.137
подозрение на trojan.packed.666
После их устранения исчезли все перечисленные симптомы кроме №1 (снижение производительности) и №4 (не открываются сайты антивирусов). В файле hosts только комментарий и строчка "127.0.0.1 localhost".
У меня дома два компьютера, поэтому выкладываю логи по обоим, в именах файлов логов со второго компьютера стоит "(PC2)". Никаких тревожных признаков, однако, на втором компьютере не замечено.
Заранее благодарю!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
По первому компьютеру:
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system\iyvu9.dll','');
QuarantineFile('C:\WINDOWS\system32\wynavs.exe','');
QuarantineFile('C:\WINDOWS\system32\wmlukpv.exe','');
QuarantineFile('C:\WINDOWS\system32\vyfulit.exe','');
QuarantineFile('C:\WINDOWS\system32\rydssn.exe','');
QuarantineFile('C:\WINDOWS\system32\onvyrr.exe','');
QuarantineFile('C:\WINDOWS\system32\kxgevku.exe','');
QuarantineFile('C:\WINDOWS\system32\jmtdppq.exe','');
QuarantineFile('C:\WINDOWS\system32\cydibg.exe','');
DeleteFile('C:\WINDOWS\system32\cydibg.exe');
DeleteFile('C:\WINDOWS\system32\jmtdppq.exe');
DeleteFile('C:\WINDOWS\system32\kxgevku.exe');
DeleteFile('C:\WINDOWS\system32\nsrysoz.exe');
DeleteFile('C:\WINDOWS\system32\onvyrr.exe');
DeleteFile('C:\WINDOWS\system32\rydssn.exe');
DeleteFile('C:\WINDOWS\system32\vyfulit.exe');
DeleteFile('C:\WINDOWS\system32\wmlukpv.exe');
DeleteFile('C:\WINDOWS\system32\wynavs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
для второго компьютера создайте новую тему и логи прикрепите к ней
Последний раз редактировалось thyrex; 13.12.2010 в 23:14.
-
-
Junior Member
- Вес репутации
- 50
Первый скрипт выдает ошибку:
Ошибка: ')' expected в позиции 6:17
По второму компьютеру открыл тему http://virusinfo.info/showthread.php?t=93491
-
Пробуйте сейчас
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Карантин закачал, логи выкладываю.
-
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{665C94CF-F293-11D1-B2E4-0060975B8649} (Trojan.Ardamax) -> No action taken.
Заражённые файлы:
c:\documents and settings\unknown user\application data\chkntfs.dat (Malware.Trace) -> No action taken.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
Сайты антивирусов стали открываться, но производительность по прежнему снижена.
-
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
А также
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения вредоносные программы в карантинах не обнаружены
-