-
Junior Member
- Вес репутации
- 56
виснет комп, глючет инет
жена долазилась в инете, результат, на домашнем компе:
1. начал регулярно срабатывать svchost.exe и ошибка - обратился не поадресу, кнопки "ок" / "отмена", после чего виснет всё, тупит, тормозит, инет не пашет, только резет помогает. и то на 5 минут.
2. проверил AVZ4 - он начал ругаться на файлычтот типа msvmiode.exe , 64.exe , 8.exe, а также проругался на vdrv9000 - подмена адреса (раньше это был виртуальный cd-rom, не знаю, чем он ему не понравился)
3. потом сработал AnVirTaskManager , что в автозагрузку лезет гадость c:\windows\cwdrive32.exe с иконкой сайта "вконтакте.ру"
4. потом начал NOD32 срабатывать - обнаружен вирус conficker или чтото типа того, удалить? - да удалить, не помогает...
короче, все это мою жену достало, она соответственно меня.... вот, надо бы вылечить комп... поможите?
сделал всё по инструкции, проверил в защищённом режиме DRWeb, единственное, после того как начал лечить и лазить анвирями, слетели все настройки VPN соединения инета, новое VPN соединение создать не даёт (на вкладке "Создать подключение" не активны выбор кнопок), короче к инету ща подрубиться не могу, прикладываю только два лога из трёх, лог hijack сделан без подключения к инету
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cwdrive32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RebootWindows(true);
end.
Компьютер перезагрузится.
Вылечить от этой заразы систему с Service Pack 2, подключенную к интернету, нереально, нужно обязательно ставить SP3 и последующие обновления. Поэтому заранее найдите SP3, выполните скрипт в оффлайне (рекомендую сделать это дважды - в обычном и в безопасном режиме), затем обновляйте систему.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=93395).
Сделайте новые логи, все три по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
1. скрипт выполнил в обычном режиме, затем в защищённом, чтото много там всего писалось и комп ушёл в перезагруз
2. карантин прикрепил согласно приложению 3 правил
(тут: http://virusinfo.info/upload_virus.php?tid=93395).
3. отключил NOD32 и закрыл все проги, проверил согласно диагностики п.1, прикрепил к сообщению файл "virusinfo_syscure.zip".
4. к инету подключиться по прежнему не могу, вкладка создания VPN не активна (SP3 сейчас ищу но пока не установил), но всё равно проверил согласно диагностики п.2, файл "virusinfo_syscheck.zip" прикрепил
5. проверил согласно диагностики п.3 (тоже без инета), лог "hijackthis.log" прикрепил
Вопрос: может сможете подсказать? если я SP3 установлю - у меня появится вкладка с VPN-соединением? у меня сейчас есть доступ к:
Сетевые подключения -> Мастер установки новых подключений -> Подключить к сети на рабочем месте(используя удаленный доступ или VPN) ->
и здесь на вкладке "Создать подключение" уже серым горят два пункта "Подключение удаленного доступа" и "Подключение к виртуальной частной сети", ни один из которых я не могу выбрать.
PS: подскажите, а что за вирьё у меня обнаружено? пароли все теперь надо менять после этого вируса, если надо - то где? у меня есть мыло, аська, куча форумов и т.д. Короче, полный стандартный набор....
-
Заразы в логах не видно.
Сообщение от
sitereg
если я SP3 установлю - у меня появится вкладка с VPN-соединением?
Обещать не могу, но шанс такой есть. В любом случае, именно сейчас самое время его установить. Имейте ввиду, что может потребоваться повторная активация Windows.
Пароли меняйте.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
огромное спасибо Вам за помощь!
-
Junior Member
- Вес репутации
- 56
установил я SP3, вкладка была неактивна, начал смотреть процессы - включил телефонию и удаленный доступ, перезагрузился - появились сразу все мои подключения, ничего заново восстанавливать не пришлось
рано обрадовался, через 10 минут инета опять svchost.exe выдал "Ошибка приложения"
Инструкция по адресу ..... обратилась к памяти по адресу ....
Память не может быть written
Ок - завершение
Отмена - отладка.....
может с появлением инета опять зараза активизировалась?
Прикрепляю логи, гляньте други плиз, все ли там чистенько? во время проверки AVZ обнаружились позавчерашние вирусы, которые в карантине лежали
PS: блин, ну неужели жизнь без аутпоста на XP - не жизнь? надо фаер всетаки ставить?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
sitereg
установил я SP3
...
рано обрадовался, через 10 минут инета опять svchost.exe выдал "Ошибка приложения"
После SP3 вышло большое количество обновлений безопасности, которые тоже надо устанавливать, чтобы закрыть оставшиеся уязвимости.
Добавлено через 3 минуты
Сообщение от
sitereg
надо фаер всетаки ставить?
Не помешает. Ну или хотя бы не отключать встроенный брандмауер.
Последний раз редактировалось Bratez; 15.12.2010 в 03:48.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
Всё руки не доходили раненый комп долечить до конца, наконец вроде время появилось, загрузил с флешки DrWEB USB Live, 22 часа сканирования обнаружили более десятка файлов из прошлой серии:
c:\windows\gwdrive.exe - Trojan.Downloader1.55450
c:\windows\system32\msvmiode.exe - Trojan.Siggen2.13595
c:\windows\system32\61.exe - Trojan.MulDrop1.62901
c:\windows\temp\10295.exe - Trojan.Downloader1.55450
c:\windows\temp\526.exe - Trojan.Siggen2.13595
c:\Doc and sett\....\Content.IE5\....\aido[1].exe - Trojan.MulDrop1.62901
c:\Doc and sett\....\Content.IE5\....\new7654dh[1].hd - Trojan.Inject.17056
c:\Doc and sett\....\Content.IE5\....\aaaaahfdhf[1].cp - Trojan.Downloader1.46912
c:\Doc and sett\....\Content.IE5\lchu3sqz\a1[1].exe - Trojan.Downloader1.55450
c:\Doc and sett\....\Content.IE5\lchu3sqz\9[1] - Trojan.Siggen2.13595
c:\Doc and sett\....\Admin\Application Data\ltzqai.exe - Trojan.Inject.17056
c:\recycler\s-1.........\syscr.exe - Trojan.Downloader1.47085
c:\recycler\s-1.........\csidrv.exe - Trojan.Proxy.2751
Планирую нажать кнопку ЛЕЧИТЬ, но по правилам затем перегружаться и снова запускать винду, но на это нет желание, т.к. есть подозрение что опять всё вернётся на круги своя. Слишком заумный вирус уж больно какойто....
Может есть ли смысл загрузиться в защищённом режиме и проверять всё касперским, AVZ, и выложить логи здесь?
-
Удалите все найденное DrWeb'ом, потом делайте логи.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\ltzqai.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.16802, BitDefender: Trojan.Generic.KDV.87961, AVAST4: Win32:Trojan-gen )
-