1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Компьютер временами стал сильно тормозить и перезагружаться.

Тема в разделе "Удаление компьютерных вирусов", создана пользователем pasha28128, 15 авг 2010.

Статус темы:
Закрыта.
  1. pasha28128

    pasha28128 Гость

    Добрый день.
    У меня комп. стал сильно притормаживать и самопроизвольно перезагружаться. Проверил утилитой CureIt, обнаружилось 60 зловредов, в основном троян 20771. Прикладываю логи AVZ и HijackThis. Пусть даты не смущают, на материнке села батарейка.
     

    Вложения:

  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. ТроПа

    ТроПа Активный пользователь

    Сообщения:
    398
    Симпатии:
    727
    Выполните логи согласно правил, пожалуйста.
     
    4 пользователям это понравилось.
  4. pasha28128

    pasha28128 Гость

    Вот требуемые логи:
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      22,6 КБ
      Просмотров:
      7
    • virusinfo_syscheck.zip
      Размер файла:
      22 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      21,4 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      162 КБ
      Просмотров:
      12
  5. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.776
    Симпатии:
    14.809
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    4 пользователям это понравилось.
  6. pasha28128

    pasha28128 Гость

    Сделал как Вы написали и как по ссылке в мануале написано. Но после запуска Combofix, через некоторое время вылезает командная строка но в ней ничего не написано. Затем появляется окошко в нем написано, что обнаружен инфицированный файл. Пробовал переименовывать Combofix в
    combo-fix.exe. но все то же самое. В безопасном режиме такая же ситуация. Лога нигде нет..
     
  7. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.776
    Симпатии:
    14.809
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
     QuarantineFile('E:\autorun.wsh','');
     QuarantineFile('C:\WINDOWS\system32\b2ed6e1e.exe','');
     QuarantineFile('C:\WINDOWS\system32\XP-22D3EACE.EXE','');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     QuarantineFile('C:\WINDOWS\system32\ytahwr.exe','');
     DeleteFile('C:\WINDOWS\system32\ytahwr.exe');
     DeleteFile('c:\windows\system32\csrcs.exe');
     DeleteFile('C:\WINDOWS\system32\XP-22D3EACE.EXE');
     DeleteFile('C:\WINDOWS\system32\b2ed6e1e.exe');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe');
     DeleteFile('E:\autorun.wsh');
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\EbyyRF.Exe');
     DeleteFile('F:\ebYyRF.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    ExecuteRepair(16);
    ExecuteRepair(20);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\WINDOWS\system32\ujobbda.exe
    C:\WINDOWS\system32\byrvblt.exe
    C:\WINDOWS\system32\rcawvpa.exe
    C:\WINDOWS\system32\sroihmn.exe
    C:\WINDOWS\system32\dyirvsi.exe
    C:\WINDOWS\system32\oucqnwe.exe
    C:\WINDOWS\system32\5807f98b.exe
    C:\WINDOWS\system32\ulzypmx.exe
    C:\WINDOWS\system32\zgqogdd.exe
    C:\WINDOWS\system32\kkrnpzv.exe
    C:\WINDOWS\system32\yunyeij.exe
    C:\WINDOWS\system32\vnvmpyd.exe
    C:\WINDOWS\system32\vpxolvl.exe
    C:\WINDOWS\system32\prjuaii.exe
    C:\WINDOWS\system32\uvuyif.exe
    C:\WINDOWS\system32\ovljfbm.exe
    C:\WINDOWS\system32\tooclfb.exe
    C:\WINDOWS\system32\xornixl.exe
    C:\WINDOWS\system32\rtkszyu.exe
    C:\WINDOWS\system32\bnwxndk.exe
    C:\WINDOWS\system32\xqdieme.exe
    C:\WINDOWS\system32\cjsqidi.exe
    C:\WINDOWS\system32\ludctor.exe
    C:\WINDOWS\system32\srqdrog.exe
    C:\WINDOWS\system32\unizzhc.exe
    C:\WINDOWS\system32\vpinare.exe
    C:\WINDOWS\system32\jbdjzon.exe
    C:\WINDOWS\system32\iizuvjb.exe
    C:\WINDOWS\system32\ismvnlt.exe
    C:\WINDOWS\system32\tbgutiz.exe
    C:\WINDOWS\system32\aaopdo.exe
    C:\WINDOWS\system32\dupcrkm.exe
    C:\WINDOWS\system32\klalkgb.exe
    C:\WINDOWS\system32\gybumpp.exe
    C:\WINDOWS\system32\ulcwpc.exe
    C:\WINDOWS\system32\vbinqjb.exe
    C:\WINDOWS\system32\xyipms.exe
    C:\WINDOWS\system32\hkzgaif.exe
    C:\WINDOWS\system32\kzegrpi.exe
    C:\WINDOWS\system32\xyrbicn.exe
    C:\WINDOWS\system32\bwjoay.exe
    C:\WINDOWS\system32\sinrelf.exe
    C:\WINDOWS\system32\iraoyea.exe
    C:\WINDOWS\system32\odcxqdp.exe
    C:\WINDOWS\system32\eetnlom.exe
    C:\WINDOWS\system32\rmeyzkj.exe
    C:\WINDOWS\system32\iodslkr.exe
    C:\Program Files\Common Files\keylog.txt
    C:\WINDOWS\system32\ytahwr.exe
    C:\WINDOWS\system32\b2ed6e1e.exe
    :Reg

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.



    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

    Добавлено через 5 часов 15 минут 58 секунд
    C:\WINDOWS\system32\csrcs.exe - Trojan.Win32.Autoit.aft (DrWeb: Win32.HLLW.Autoruner.based, Avast5: AutoIt:Balero-C)
    E:\autorun.wsh - VBS:Malware-gen
    F:\EbyyRF.Exe - Trojan.Win32.Autoit.aft (DrWeb: Win32.HLLW.Autoruner.based, Avast5: AutoIt:Balero-C)
    C:\WINDOWS\system32\b2ed6e1e.exe - Backdoor.Win32.Shiz.gen (DrWeb: Trojan.Packed.20771, Avast5: Win32:MalOb-BW)
    C:\WINDOWS\system32\ytahwr.exe - Backdoor.Win32.Shiz.gen (DrWeb: Trojan.Packed.20771, Avast5: Win32:MalOb-BW)
     
    4 пользователям это понравилось.
  8. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.776
    Симпатии:
    14.809
    После лечения обязательно смените пароли.
     
    2 пользователям это понравилось.
  9. pasha28128

    pasha28128 Гость

    Во вложениях логи.
     

    Вложения:

  10. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.776
    Симпатии:
    14.809
    Удалите при помощи MBAM:

    Код (Text):
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.

    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Quarantined and deleted successfully.
    И повторите логи AVZ и RSIT для контроля.
     
    4 пользователям это понравилось.
Загрузка...
Статус темы:
Закрыта.

Поделиться этой страницей