Решена Начал подтормаживать компьютер...

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Warrior Kratos, 2 окт 2011.

Статус темы:
Закрыта.
  1. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    Всем привет! С недавних пор начал замечать на старом компе тормоза, система долго грузится, браузеры... Решил полностью довериться нашим замечательным вирусоборцам!!! :) Логи сделал.
     

    Вложения:

  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Привет, сейчас погляжу

    Добавлено через 13 минут 3 секунды
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteAVUpdateEx('http://avz.safezone.cc/base/', 0, '','','');
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFileF('L:\Users\Jin\AppData\Roaming\', '*.tmp;*.exe', false, '', 0, 0);
     QuarantineFile('0.exe','');
     QuarantineFile('lanmanworkstationVSS.sys','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Transcend\SJelite3\asmtusb.dll','');
     QuarantineFile('c:\documents and settings\Администратор\application data\transcend\sjelite3\sjelite3launch.exe','');
     DeleteFile('0.exe');
     DeleteFileMask('L:\Users\Jin\AppData\Roaming\', '*.tmp;*.exe', false);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи AVZ и RSIT

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
    1 человеку нравится это.
  3. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    Severnyj, Спасибо, с тренировки приду выполню ;)
     
  4. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    Так, карантин выслал, логи прилагаю.
     

    Вложения:

  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Повторите сканирование MBAM и удалите все кроме этих строк:

    Код (Text):
    c:\system volume information\_restore{179124b2-9dca-40d9-ad1e-a0e610a11014}\rp556\a0265002.exe (Trojan.FakeSMS) -> No action taken.
    c:\system volume information\_restore{179124b2-9dca-40d9-ad1e-a0e610a11014}\rp556\a0265003.exe (Trojan.FakeSMS) -> No action taken.
    d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
    d:\program files\WinRar 3.2\kgwinrar.exe (Trojan.Agent.CK) -> No action taken.
    d:\program files\alcohol soft\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
    d:\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
    Пофиксите в HJT:

    Код (Text):
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
    R3 - URLSearchHook: (no name) - {7b6de06c-7013-4a87-957e-d27d7b977d21} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
    O2 - BHO: (no name) - {1D69644B-A39B-408C-85F1-73E247F3FD93} - (no file)
    O2 - BHO: (no name) - {7b6de06c-7013-4a87-957e-d27d7b977d21} - (no file)
    O3 - Toolbar: (no name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - (no file)
    O3 - Toolbar: (no name) - {7b6de06c-7013-4a87-957e-d27d7b977d21} - (no file)
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
     
    Файлы:

    Код (Text):
    2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcreg.dat
    2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcinfot.dat
    - Проверьте на Virustotal
     
    1 человеку нравится это.
  6. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    сделано
    Выполнено
    Код (Text):
    2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcreg.dat
    2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcinfot.dat
    Это видео, могу за них поручится, но если надо то проверю, завтра. Сегодня уже никак.
    Severnyj, огромное спасибо за помощь!!!
     
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Если поручаетесь то не нужно.

    Как самочувствие компьютера?

    Диск L это что?

    Программу для флешек Transcend сами ставили?

    Повторите логи AVZ и RSIT для контроля!
     
    Последнее редактирование: 2 окт 2011
    1 человеку нравится это.
  8. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    пока тормозить меньше стал :)
    такого диска нет и флешки с таким названием нет. В логе авз тоже его не видно. Думаю в скрипт это попало случайно:
    Да, она от внешнего ЖД.
    Хорошо, сейчас сделаю.
    Кстати папка Users у меня на С
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Зато в первом логе RSIT было.
     
    1 человеку нравится это.
  10. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    хм, не вижу. Ткни пальцем...
     
  11. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    Третий комплект логов :)
     

    Вложения:

    • log.txt
      Размер файла:
      36,8 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      43,2 КБ
      Просмотров:
      0
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Код (Text):

    2011-09-29 08:11:35 ----A---- L:\Users\Jin\AppData\Roaming\42FC.exe
    2011-09-29 08:10:31 ----A---- L:\Users\Jin\AppData\Roaming\4A4B.exe
    2011-09-29 08:10:24 ----A---- L:\Users\Jin\AppData\Roaming\3035.tmp
    2011-09-28 22:54:48 ----A---- L:\Users\Jin\AppData\Roaming\1A3F.tmp
    2011-09-28 22:54:37 ----A---- L:\Users\Jin\AppData\Roaming\F071.exe
    2011-09-28 18:59:05 ----A---- L:\Users\Jin\AppData\Roaming\4A5D.exe
    2011-09-28 18:42:59 ----A---- L:\Users\Jin\AppData\Roaming\8D54.exe
    2011-09-28 17:40:31 ----A---- L:\Users\Jin\AppData\Roaming\5BA8.exe
    2011-09-28 17:40:27 ----A---- L:\Users\Jin\AppData\Roaming\4DF1.exe
    2011-09-28 12:40:23 ----A---- L:\Users\Jin\AppData\Roaming\75FB.exe
    2011-09-28 12:40:17 ----A---- L:\Users\Jin\AppData\Roaming\5C05.exe
    2011-09-28 11:16:07 ----A---- L:\Users\Jin\AppData\Roaming\3E0A.exe
    2011-09-28 11:15:06 ----A---- L:\Users\Jin\AppData\Roaming\4F19.exe
    2011-09-28 11:10:28 ----A---- L:\Users\Jin\AppData\Roaming\4CEA.exe
    2011-09-28 11:10:24 ----A---- L:\Users\Jin\AppData\Roaming\3D40.exe
    2011-09-28 11:10:17 ----A---- L:\Users\Jin\AppData\Roaming\249F.exe
    2011-09-28 09:54:09 ----A---- L:\Users\Jin\AppData\Roaming\32D.exe
    2011-09-28 09:53:06 ----A---- L:\Users\Jin\AppData\Roaming\C9D.exe
    2011-09-28 07:32:44 ----A---- L:\Users\Jin\AppData\Roaming\ACC4.exe
    2011-09-28 07:31:14 ----A---- L:\Users\Jin\AppData\Roaming\495E.exe
    2011-09-27 23:02:01 ----A---- L:\Users\Jin\AppData\Roaming\4C8B.exe
    2011-09-27 23:01:55 ----A---- L:\Users\Jin\AppData\Roaming\365C.exe
    2011-09-27 23:01:44 ----A---- L:\Users\Jin\AppData\Roaming\D48.exe
    2011-09-27 20:16:33 ----A---- L:\Users\Jin\AppData\Roaming\6A58.tmp
    2011-09-27 20:16:20 ----A---- L:\Users\Jin\AppData\Roaming\37C3.exe
    2011-09-27 20:16:07 ----A---- L:\Users\Jin\AppData\Roaming\379.exe
    2011-09-27 14:59:50 ----A---- L:\Users\Jin\AppData\Roaming\D136.exe
    2011-09-27 14:59:41 ----A---- L:\Users\Jin\AppData\Roaming\B202.tmp
    2011-09-27 12:54:39 ----A---- L:\Users\Jin\AppData\Roaming\369A.exe
    2011-09-27 12:54:34 ----A---- L:\Users\Jin\AppData\Roaming\2200.exe
    2011-09-27 10:57:22 ----A---- L:\Users\Jin\AppData\Roaming\55B3.exe

    Добавлено через 6 минут 9 секунд
    В логах подозрительного не видно, если не сами прописывали прокси то пофиксите в HJT еще и это:

    Код (Text):
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:80
    Необходимо очистить ранее созданную точку восстановления и создать новую:
    1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


    Для предотвращения заражения рекомендуется:
    - не работать за компьютером с правами администратора
    - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
    - регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

    Обновите до последних версий:
     
    1 человеку нравится это.
  13. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    Severnyj, хорошо, спасибо. А чего хоть это было?? Настоящего заражения ведь не было, да?
     
  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    По логу MBAM было много рекламного мусора.

    Да и RSIT думаю не мог ошибиться - похоже на сетевого червя. Так что обновиться не помешает.
     
    1 человеку нравится это.
  15. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    хорошо, сейчас сделаем :)

    Добавлено через 8 минут 21 секунду
    Эээ, тему можно закрыть :)
     
Статус темы:
Закрыта.

Поделиться этой страницей