Решена Компьютер временами стал сильно тормозить и перезагружаться.

[pasha28128]

Добрый день.
У меня комп. стал сильно притормаживать и самопроизвольно перезагружаться. Проверил утилитой CureIt, обнаружилось 60 зловредов, в основном троян 20771. Прикладываю логи AVZ и HijackThis. Пусть даты не смущают, на материнке села батарейка.

 

[ТроПа]

Выполните логи согласно правил, пожалуйста.

 

[pasha28128]

Вот требуемые логи:

 

[akok]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

 

[pasha28128]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Сделал как Вы написали и как по ссылке в мануале написано. Но после запуска Combofix, через некоторое время вылезает командная строка но в ней ничего не написано. Затем появляется окошко в нем написано, что обнаружен инфицированный файл. Пробовал переименовывать Combofix в
combo-fix.exe. но все то же самое. В безопасном режиме такая же ситуация. Лога нигде нет..

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 QuarantineFile('E:\autorun.wsh','');
 QuarantineFile('C:\WINDOWS\system32\b2ed6e1e.exe','');
 QuarantineFile('C:\WINDOWS\system32\XP-22D3EACE.EXE','');
 QuarantineFile('c:\windows\system32\csrcs.exe','');
 QuarantineFile('C:\WINDOWS\system32\ytahwr.exe','');
 DeleteFile('C:\WINDOWS\system32\ytahwr.exe');
 DeleteFile('c:\windows\system32\csrcs.exe');
 DeleteFile('C:\WINDOWS\system32\XP-22D3EACE.EXE');
 DeleteFile('C:\WINDOWS\system32\b2ed6e1e.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('E:\autorun.wsh');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\EbyyRF.Exe');
 DeleteFile('F:\ebYyRF.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteRepair(16);
ExecuteRepair(20);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\ujobbda.exe
C:\WINDOWS\system32\byrvblt.exe
C:\WINDOWS\system32\rcawvpa.exe
C:\WINDOWS\system32\sroihmn.exe
C:\WINDOWS\system32\dyirvsi.exe
C:\WINDOWS\system32\oucqnwe.exe
C:\WINDOWS\system32\5807f98b.exe
C:\WINDOWS\system32\ulzypmx.exe
C:\WINDOWS\system32\zgqogdd.exe
C:\WINDOWS\system32\kkrnpzv.exe
C:\WINDOWS\system32\yunyeij.exe
C:\WINDOWS\system32\vnvmpyd.exe
C:\WINDOWS\system32\vpxolvl.exe
C:\WINDOWS\system32\prjuaii.exe
C:\WINDOWS\system32\uvuyif.exe
C:\WINDOWS\system32\ovljfbm.exe
C:\WINDOWS\system32\tooclfb.exe
C:\WINDOWS\system32\xornixl.exe
C:\WINDOWS\system32\rtkszyu.exe
C:\WINDOWS\system32\bnwxndk.exe
C:\WINDOWS\system32\xqdieme.exe
C:\WINDOWS\system32\cjsqidi.exe
C:\WINDOWS\system32\ludctor.exe
C:\WINDOWS\system32\srqdrog.exe
C:\WINDOWS\system32\unizzhc.exe
C:\WINDOWS\system32\vpinare.exe
C:\WINDOWS\system32\jbdjzon.exe
C:\WINDOWS\system32\iizuvjb.exe
C:\WINDOWS\system32\ismvnlt.exe
C:\WINDOWS\system32\tbgutiz.exe
C:\WINDOWS\system32\aaopdo.exe
C:\WINDOWS\system32\dupcrkm.exe
C:\WINDOWS\system32\klalkgb.exe
C:\WINDOWS\system32\gybumpp.exe
C:\WINDOWS\system32\ulcwpc.exe
C:\WINDOWS\system32\vbinqjb.exe
C:\WINDOWS\system32\xyipms.exe
C:\WINDOWS\system32\hkzgaif.exe
C:\WINDOWS\system32\kzegrpi.exe
C:\WINDOWS\system32\xyrbicn.exe
C:\WINDOWS\system32\bwjoay.exe
C:\WINDOWS\system32\sinrelf.exe
C:\WINDOWS\system32\iraoyea.exe
C:\WINDOWS\system32\odcxqdp.exe
C:\WINDOWS\system32\eetnlom.exe
C:\WINDOWS\system32\rmeyzkj.exe
C:\WINDOWS\system32\iodslkr.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\ytahwr.exe
C:\WINDOWS\system32\b2ed6e1e.exe
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.



Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Добавлено через 5 часов 15 минут 58 секунд
C:\WINDOWS\system32\csrcs.exe - Trojan.Win32.Autoit.aft (DrWeb: Win32.HLLW.Autoruner.based, Avast5: AutoIt:Balero-C)
E:\autorun.wsh - VBS:Malware-gen
F:\EbyyRF.Exe - Trojan.Win32.Autoit.aft (DrWeb: Win32.HLLW.Autoruner.based, Avast5: AutoIt:Balero-C)
C:\WINDOWS\system32\b2ed6e1e.exe - Backdoor.Win32.Shiz.gen (DrWeb: Trojan.Packed.20771, Avast5: Win32:MalOb-BW)
C:\WINDOWS\system32\ytahwr.exe - Backdoor.Win32.Shiz.gen (DrWeb: Trojan.Packed.20771, Avast5: Win32:MalOb-BW)

 

[akok]

После лечения обязательно смените пароли.

 

[pasha28128]

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.



Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Во вложениях логи.

 

[akok]

Удалите при помощи MBAM:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Quarantined and deleted successfully.

И повторите логи AVZ и RSIT для контроля.