медленно загружается Windows, выключается, виснут программы.
в диспетчере программ много подозрительных процессов 01.exe, 02.exe, 03.exe и т.д.
не загружается в безопасном режиме.
в автозагрузке csisf.exe и другие подозрительные программы.
медленно загружается Windows, выключается, виснут программы.
в диспетчере программ много подозрительных процессов 01.exe, 02.exe, 03.exe и т.д.
не загружается в безопасном режиме.
в автозагрузке csisf.exe и другие подозрительные программы.
Активной заразы в логах не видно, только мусор в реестре.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file) O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - (no file) O4 - HKCU\..\Run: [Shell] explorer.exe,C:\RECYCLER\S-1-5-21-8404143280-7083080006-008994517-7032\csisf.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe O4 - S-1-5-18 Startup: setup_9.0.0.722_22.01.2011_22-48.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: setup_9.0.0.722_22.01.2011_22-48.lnk = ? (User 'Default user') O4 - Startup: setup_9.0.0.722_22.01.2011_22-48.lnk = ? O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SetServiceStart('Alerter', 4); BC_ServiceKill('rwykdlgs'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Рекомендуется установить SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).
I am not young enough to know everything...
просканировал систему gmer ом - найден Rootkit!!! я так понял замаскированный под svchost.exe
насчет слабой вирусной активности с Вами не согласен - просмотрите отчет Касперский Вирус Римувал Тул. а что тогда представляют собой эти файлы -
bowcav.exe
wfcwe.exe
csisf.exe
024.exe, 018.exe, 068.exe, 104.exe и т.д.
wdni.exe
psyjo3.exe
fnuwe.exe
myysf.exe
vsbntlo.exe
A0015934.exe и т.д.???
повторно продиагностировал систему п.2 и п.3
вот логи - выкладываю второй раз, при первой попытке интернет браузер почему-то повис. до фикса Хайджека и скрипта AVZ система работала быстрее.
объясните мне что такое svchost.exe? должно его быть 4 штуки в диспетчере задач и может ли один из них занимать памяти 50 744 - 50 792 Kb?
Сохраните текст ниже как cleanup.bat в ту же папку, где находится cxdxb7qm.exe (gmer)
И запустите cleanup.batКод:cxdxb7qm.exe -del service rwykdlgs cxdxb7qm.exe -del file "C:\WINDOWS\system32\llool.dll" cxdxb7qm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rwykdlgs" cxdxb7qm.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rwykdlgs" cxdxb7qm.exe -reboot
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
Добавлено через 2 минуты
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Acrobat Reader 9.4 или удалите старый
Последний раз редактировалось thyrex; 26.01.2011 в 03:10. Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Явно зловреды, но в логах AVZ их нет в числе запущенных процессов, а также нет ссылок на них в анализируемых разделах реестра. Просто удалите их, если антивирус еще этого не сделал.
Ваш Rootkit - это сетевой червь Kido. Система с SP2 перед ним беззащитна. Пока не поставите обновления, лезть будет снова и снова, лечиться можно бесконечно.
I am not young enough to know everything...
cleanup.bat выполнил, только подлечил систему и опять подцепил заразу!!!
на этот раз блокировщик. Ничего сделать не смог, клавиатура и мышь не работали, поэтому просто перезагрузился. После загрузки - блокировщика я уже не увидел, как и значков на рабочем столе! Открылся только проводник при загрузке. Браузеры все работают, инет тоже. Прогнал систему avptool"ом - ничего не нашел! Попытался скачать новую версию avptool"а, но даунлоадмастер выскакивал с сообщением об ошибке.
Безопасный режим не работает - пробовал восстановить скриптом в AVZ не помогло, как и при безопасном режиме с поддержкой командной строки - повис. В сетевом окружении появились новые ветки - e на Computer-ffde4e, d, f, j, i на Home1, Data (G) на Home1, архив (e) на Home1, обмен на Home1 при переходе на некоторые из них Я ПОПАДАЮ НА ЧУЖОЙ КОМПЬЮТЕР И МОГУ ПРОСМАТРИВАТЬ ВСЕ ФАЙЛЫ, находящиеся на нем!!! фотографии, документы Word и другие!!! Я думаю, что и они мои документы могут теперь тоже просмотреть!!!
прогнал систему avz, обновив базу.
Hijack"ом и Gmer"ом!
Вот логи:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\CCC1~1.DET\LOCALS~1\Temp\0.8739525291360472.exe',''); DeleteFile('C:\DOCUME~1\CCC1~1.DET\LOCALS~1\Temp\0.8739525291360472.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Сделайте лог полного сканирования МВАМ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
после скрипта рабочий стол восстановился, появились значки на рабочем столе. Программы вроде все работают, даунлоадмастер тоже заработал.
установил MBAM, просканировал систему.
отчет в прикрепленном файле.
SP3 установить не могу, т.к. "основной файл системы не является файлом Windows".
да и еще безопасный режим так и не работает, подскажите как восстановить.
Добавлено через 1 час 41 минуту
заметил что системные часы работают не совсем правильно.
Например, вместо того чтобы показывать 14.30 часы показывают 3.30, хотя при открытии свойств даты и времени все стоит верно - 14.30.
Последний раз редактировалось alex2278; 29.01.2011 в 15:31. Причина: Добавлено
- удалите в MBAM
- Выполните скрипт в AVZКод:Заражённые ключи в реестре: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken. Заражённые папки: c:\program files\VVSN (Adware.WhenU) -> No action taken. c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken. c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken. Заражённые файлы: d:\system volume information\_restore{a8ad49b8-a582-49ed-b474-dbb5f35b6d77}\RP193\A0019588.EXE (Trojan.Downloader) -> No action taken. e:\system volume information\_restore{39f690b0-dc46-49bc-b71b-ddd59b5e6566}\RP20\A0010928.exe (Adware.WhenU) -> No action taken. e:\system volume information\_restore{39f690b0-dc46-49bc-b71b-ddd59b5e6566}\RP31\A0011506.exe (Malware.NSPack) -> No action taken. e:\system volume information\_restore{f529f8df-5f10-49ce-982f-f0189b4626d8}\RP98\A0033030.exe (Rogue.BulletProofSpyware) -> No action taken. c:\documents and settings\алексей.detox\local settings\Temp\0.30580613043562255.exe (Trojan.Dropper) -> No action taken. c:\documents and settings\алексей.detox\local settings\Temp\0.2971676744155761.exe (Trojan.Dropper) -> No action taken. c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken. c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken. c:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken. c:\WINDOWS\system32\twain32\user.ds.lll (Backdoor.Bot) -> No action taken.
После перезагрузки:Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('c:\WINDOWS\system32\d3d10_1.dll',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteRepair(11); ExecuteRepair(10); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог MBAM
не могу отправить файл карантина, пишет данный файл уже был загружен.
Добавлено через 9 минут
какие-то странные папки на локальном диске Е - eb290ce9e3d54f13c29ef68b,
9818039a9752d85127, 6288fb8750d72432a920a7, 583de54dfc5b219be6, 0b9c56bb7ad597a667f7d4ca????
Последний раз редактировалось alex2278; 31.01.2011 в 00:14. Причина: Добавлено
вот лог
Порядок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
весьма благодарен за помощь, продолжу работу по защите своего ПК.
попробую восстановить безопасный режим, который пока никак не хочет работать.
Удачи всем!
создал ограниченную учетную запись пользователя с паролем, раньше пользовался учетной записью с правами администратора.
теперь на админа переключиться не могу, т.к. ее в списке учеток пуск-панель управления нет. через пуск - завершение сеанса также не переключается.
через контекстное меню - запуск от имени выкидывает сообщение - типа только с правами администратора можно запустить.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\ccc1~1.det\\locals~1\\temp\\0.873952 5291360472.exe - Trojan-Ransom.Win32.Gimemo.ans ( DrWEB: Trojan.Winlock.2741, BitDefender: Trojan.Generic.5522938, NOD32: Win32/LockScreen.YL trojan, AVAST4: Win32:MalOb-FT [Cryp] )
Уважаемый(ая) alex2278, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.