проблемы с быстродействием компьютера

[alex2278]

медленно загружается Windows, выключается, виснут программы.
в диспетчере программ много подозрительных процессов 01.exe, 02.exe, 03.exe и т.д.
не загружается в безопасном режиме.
в автозагрузке csisf.exe и другие подозрительные программы.

[Bratez]

Активной заразы в логах не видно, только мусор в реестре.

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - (no file)
O4 - HKCU\..\Run: [Shell] explorer.exe,C:\RECYCLER\S-1-5-21-8404143280-7083080006-008994517-7032\csisf.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe
O4 - S-1-5-18 Startup: setup_9.0.0.722_22.01.2011_22-48.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: setup_9.0.0.722_22.01.2011_22-48.lnk = ? (User 'Default user')
O4 - Startup: setup_9.0.0.722_22.01.2011_22-48.lnk = ?
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SetServiceStart('Alerter', 4);
BC_ServiceKill('rwykdlgs');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Рекомендуется установить SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).

[alex2278]

просканировал систему gmer ом - найден Rootkit!!! я так понял замаскированный под svchost.exe
насчет слабой вирусной активности с Вами не согласен - просмотрите отчет Касперский Вирус Римувал Тул. а что тогда представляют собой эти файлы -
bowcav.exe
wfcwe.exe
csisf.exe
024.exe, 018.exe, 068.exe, 104.exe и т.д.
wdni.exe
psyjo3.exe
fnuwe.exe
myysf.exe
vsbntlo.exe
A0015934.exe и т.д.???

[alex2278]

[alex2278]

повторно продиагностировал систему п.2 и п.3
вот логи - выкладываю второй раз, при первой попытке интернет браузер почему-то повис. до фикса Хайджека и скрипта AVZ система работала быстрее.
объясните мне что такое svchost.exe? должно его быть 4 штуки в диспетчере задач и может ли один из них занимать памяти 50 744 - 50 792 Kb?

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится cxdxb7qm.exe (gmer)

Код:

cxdxb7qm.exe -del service rwykdlgs
cxdxb7qm.exe -del file "C:\WINDOWS\system32\llool.dll"
cxdxb7qm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rwykdlgs"
cxdxb7qm.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rwykdlgs"
cxdxb7qm.exe -reboot

И запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!

Сделайте новый лог gmer

Добавлено через 2 минуты

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Acrobat Reader 9.4 или удалите старый

[Bratez]

что тогда представляют собой эти файлы -
bowcav.exe
wfcwe.exe
csisf.exe
024.exe, 018.exe, 068.exe, 104.exe и т.д.
wdni.exe
psyjo3.exe
fnuwe.exe
myysf.exe
vsbntlo.exe
A0015934.exe и т.д.???

Явно зловреды, но в логах AVZ их нет в числе запущенных процессов, а также нет ссылок на них в анализируемых разделах реестра. Просто удалите их, если антивирус еще этого не сделал.

просканировал систему gmer ом - найден Rootkit!!!

Ваш Rootkit - это сетевой червь Kido. Система с SP2 перед ним беззащитна. Пока не поставите обновления, лезть будет снова и снова, лечиться можно бесконечно.

[alex2278]

cleanup.bat выполнил, только подлечил систему и опять подцепил заразу!!!
на этот раз блокировщик. Ничего сделать не смог, клавиатура и мышь не работали, поэтому просто перезагрузился. После загрузки - блокировщика я уже не увидел, как и значков на рабочем столе! Открылся только проводник при загрузке. Браузеры все работают, инет тоже. Прогнал систему avptool"ом - ничего не нашел! Попытался скачать новую версию avptool"а, но даунлоадмастер выскакивал с сообщением об ошибке.
Безопасный режим не работает - пробовал восстановить скриптом в AVZ не помогло, как и при безопасном режиме с поддержкой командной строки - повис. В сетевом окружении появились новые ветки - e на Computer-ffde4e, d, f, j, i на Home1, Data (G) на Home1, архив (e) на Home1, обмен на Home1 при переходе на некоторые из них Я ПОПАДАЮ НА ЧУЖОЙ КОМПЬЮТЕР И МОГУ ПРОСМАТРИВАТЬ ВСЕ ФАЙЛЫ, находящиеся на нем!!! фотографии, документы Word и другие!!! Я думаю, что и они мои документы могут теперь тоже просмотреть!!!
прогнал систему avz, обновив базу.
Hijack"ом и Gmer"ом!
Вот логи:

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\CCC1~1.DET\LOCALS~1\Temp\0.8739525291360472.exe','');
 DeleteFile('C:\DOCUME~1\CCC1~1.DET\LOCALS~1\Temp\0.8739525291360472.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Сделайте лог полного сканирования МВАМ
Сделайте новые логи

[alex2278]

после скрипта рабочий стол восстановился, появились значки на рабочем столе. Программы вроде все работают, даунлоадмастер тоже заработал.
установил MBAM, просканировал систему.
отчет в прикрепленном файле.
SP3 установить не могу, т.к. "основной файл системы не является файлом Windows".

[alex2278]

да и еще безопасный режим так и не работает, подскажите как восстановить.

Добавлено через 1 час 41 минуту

заметил что системные часы работают не совсем правильно.
Например, вместо того чтобы показывать 14.30 часы показывают 3.30, хотя при открытии свойств даты и времени все стоит верно - 14.30.

[polword]

- удалите в MBAM

Код:

Заражённые ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.


Заражённые папки:
c:\program files\VVSN (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.

Заражённые файлы:
d:\system volume information\_restore{a8ad49b8-a582-49ed-b474-dbb5f35b6d77}\RP193\A0019588.EXE (Trojan.Downloader) -> No action taken.
e:\system volume information\_restore{39f690b0-dc46-49bc-b71b-ddd59b5e6566}\RP20\A0010928.exe (Adware.WhenU) -> No action taken.
e:\system volume information\_restore{39f690b0-dc46-49bc-b71b-ddd59b5e6566}\RP31\A0011506.exe (Malware.NSPack) -> No action taken.
e:\system volume information\_restore{f529f8df-5f10-49ce-982f-f0189b4626d8}\RP98\A0033030.exe (Rogue.BulletProofSpyware) -> No action taken.
c:\documents and settings\алексей.detox\local settings\Temp\0.30580613043562255.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\алексей.detox\local settings\Temp\0.2971676744155761.exe (Trojan.Dropper) -> No action taken.
c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain32\user.ds.lll (Backdoor.Bot) -> No action taken.

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('c:\WINDOWS\system32\d3d10_1.dll','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  ExecuteRepair(11);
 ExecuteRepair(10);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог MBAM

[alex2278]

не могу отправить файл карантина, пишет данный файл уже был загружен.

Добавлено через 9 минут

какие-то странные папки на локальном диске Е - eb290ce9e3d54f13c29ef68b,
9818039a9752d85127, 6288fb8750d72432a920a7, 583de54dfc5b219be6, 0b9c56bb7ad597a667f7d4ca????

[polword]

- Сделайте повторный лог MBAM

лог повторите

[alex2278]

вот лог

[thyrex]

Порядок

[alex2278]

весьма благодарен за помощь, продолжу работу по защите своего ПК.
попробую восстановить безопасный режим, который пока никак не хочет работать.
Удачи всем!

[alex2278]

создал ограниченную учетную запись пользователя с паролем, раньше пользовался учетной записью с правами администратора.
теперь на админа переключиться не могу, т.к. ее в списке учеток пуск-панель управления нет. через пуск - завершение сеанса также не переключается.
через контекстное меню - запуск от имени выкидывает сообщение - типа только с правами администратора можно запустить.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\docume~1\\ccc1~1.det\\locals~1\\temp\\0.873952 5291360472.exe - Trojan-Ransom.Win32.Gimemo.ans ( DrWEB: Trojan.Winlock.2741, BitDefender: Trojan.Generic.5522938, NOD32: Win32/LockScreen.YL trojan, AVAST4: Win32:MalOb-FT [Cryp] )