Решена Компьютер временами стал сильно тормозить и перезагружаться.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем pasha28128, 15 авг 2010.

Статус темы:
Закрыта.
  1. pasha28128
    Онлайн

    pasha28128 Гость

    Добрый день.
    У меня комп. стал сильно притормаживать и самопроизвольно перезагружаться. Проверил утилитой CureIt, обнаружилось 60 зловредов, в основном троян 20771. Прикладываю логи AVZ и HijackThis. Пусть даты не смущают, на материнке села батарейка.
     

    Вложения:

  2. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Выполните логи согласно правил, пожалуйста.
     
    4 пользователям это понравилось.
  3. pasha28128
    Онлайн

    pasha28128 Гость

    Вот требуемые логи:
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      22,6 КБ
      Просмотров:
      7
    • virusinfo_syscheck.zip
      Размер файла:
      22 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      21,4 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      162 КБ
      Просмотров:
      12
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    4 пользователям это понравилось.
  5. pasha28128
    Онлайн

    pasha28128 Гость

    Сделал как Вы написали и как по ссылке в мануале написано. Но после запуска Combofix, через некоторое время вылезает командная строка но в ней ничего не написано. Затем появляется окошко в нем написано, что обнаружен инфицированный файл. Пробовал переименовывать Combofix в
    combo-fix.exe. но все то же самое. В безопасном режиме такая же ситуация. Лога нигде нет..
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
     QuarantineFile('E:\autorun.wsh','');
     QuarantineFile('C:\WINDOWS\system32\b2ed6e1e.exe','');
     QuarantineFile('C:\WINDOWS\system32\XP-22D3EACE.EXE','');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     QuarantineFile('C:\WINDOWS\system32\ytahwr.exe','');
     DeleteFile('C:\WINDOWS\system32\ytahwr.exe');
     DeleteFile('c:\windows\system32\csrcs.exe');
     DeleteFile('C:\WINDOWS\system32\XP-22D3EACE.EXE');
     DeleteFile('C:\WINDOWS\system32\b2ed6e1e.exe');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe');
     DeleteFile('E:\autorun.wsh');
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\EbyyRF.Exe');
     DeleteFile('F:\ebYyRF.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    ExecuteRepair(16);
    ExecuteRepair(20);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\WINDOWS\system32\ujobbda.exe
    C:\WINDOWS\system32\byrvblt.exe
    C:\WINDOWS\system32\rcawvpa.exe
    C:\WINDOWS\system32\sroihmn.exe
    C:\WINDOWS\system32\dyirvsi.exe
    C:\WINDOWS\system32\oucqnwe.exe
    C:\WINDOWS\system32\5807f98b.exe
    C:\WINDOWS\system32\ulzypmx.exe
    C:\WINDOWS\system32\zgqogdd.exe
    C:\WINDOWS\system32\kkrnpzv.exe
    C:\WINDOWS\system32\yunyeij.exe
    C:\WINDOWS\system32\vnvmpyd.exe
    C:\WINDOWS\system32\vpxolvl.exe
    C:\WINDOWS\system32\prjuaii.exe
    C:\WINDOWS\system32\uvuyif.exe
    C:\WINDOWS\system32\ovljfbm.exe
    C:\WINDOWS\system32\tooclfb.exe
    C:\WINDOWS\system32\xornixl.exe
    C:\WINDOWS\system32\rtkszyu.exe
    C:\WINDOWS\system32\bnwxndk.exe
    C:\WINDOWS\system32\xqdieme.exe
    C:\WINDOWS\system32\cjsqidi.exe
    C:\WINDOWS\system32\ludctor.exe
    C:\WINDOWS\system32\srqdrog.exe
    C:\WINDOWS\system32\unizzhc.exe
    C:\WINDOWS\system32\vpinare.exe
    C:\WINDOWS\system32\jbdjzon.exe
    C:\WINDOWS\system32\iizuvjb.exe
    C:\WINDOWS\system32\ismvnlt.exe
    C:\WINDOWS\system32\tbgutiz.exe
    C:\WINDOWS\system32\aaopdo.exe
    C:\WINDOWS\system32\dupcrkm.exe
    C:\WINDOWS\system32\klalkgb.exe
    C:\WINDOWS\system32\gybumpp.exe
    C:\WINDOWS\system32\ulcwpc.exe
    C:\WINDOWS\system32\vbinqjb.exe
    C:\WINDOWS\system32\xyipms.exe
    C:\WINDOWS\system32\hkzgaif.exe
    C:\WINDOWS\system32\kzegrpi.exe
    C:\WINDOWS\system32\xyrbicn.exe
    C:\WINDOWS\system32\bwjoay.exe
    C:\WINDOWS\system32\sinrelf.exe
    C:\WINDOWS\system32\iraoyea.exe
    C:\WINDOWS\system32\odcxqdp.exe
    C:\WINDOWS\system32\eetnlom.exe
    C:\WINDOWS\system32\rmeyzkj.exe
    C:\WINDOWS\system32\iodslkr.exe
    C:\Program Files\Common Files\keylog.txt
    C:\WINDOWS\system32\ytahwr.exe
    C:\WINDOWS\system32\b2ed6e1e.exe
    :Reg

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.



    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

    Добавлено через 5 часов 15 минут 58 секунд
    C:\WINDOWS\system32\csrcs.exe - Trojan.Win32.Autoit.aft (DrWeb: Win32.HLLW.Autoruner.based, Avast5: AutoIt:Balero-C)
    E:\autorun.wsh - VBS:Malware-gen
    F:\EbyyRF.Exe - Trojan.Win32.Autoit.aft (DrWeb: Win32.HLLW.Autoruner.based, Avast5: AutoIt:Balero-C)
    C:\WINDOWS\system32\b2ed6e1e.exe - Backdoor.Win32.Shiz.gen (DrWeb: Trojan.Packed.20771, Avast5: Win32:MalOb-BW)
    C:\WINDOWS\system32\ytahwr.exe - Backdoor.Win32.Shiz.gen (DrWeb: Trojan.Packed.20771, Avast5: Win32:MalOb-BW)
     
    4 пользователям это понравилось.
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    После лечения обязательно смените пароли.
     
    2 пользователям это понравилось.
  8. pasha28128
    Онлайн

    pasha28128 Гость

    Во вложениях логи.
     

    Вложения:

  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Удалите при помощи MBAM:

    Код (Text):
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.

    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Quarantined and deleted successfully.
    И повторите логи AVZ и RSIT для контроля.
     
    4 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей