• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Компьютер временами стал сильно тормозить и перезагружаться.

Статус
В этой теме нельзя размещать новые ответы.
P

pasha28128

#1
Добрый день.
У меня комп. стал сильно притормаживать и самопроизвольно перезагружаться. Проверил утилитой CureIt, обнаружилось 60 зловредов, в основном троян 20771. Прикладываю логи AVZ и HijackThis. Пусть даты не смущают, на материнке села батарейка.
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,963
Симпатии
12,254
#4
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 
P

pasha28128

#5
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
Сделал как Вы написали и как по ссылке в мануале написано. Но после запуска Combofix, через некоторое время вылезает командная строка но в ней ничего не написано. Затем появляется окошко в нем написано, что обнаружен инфицированный файл. Пробовал переименовывать Combofix в
combo-fix.exe. но все то же самое. В безопасном режиме такая же ситуация. Лога нигде нет..
 

akok

Команда форума
Администратор
Сообщения
14,963
Симпатии
12,254
#6
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 QuarantineFile('E:\autorun.wsh','');
 QuarantineFile('C:\WINDOWS\system32\b2ed6e1e.exe','');
 QuarantineFile('C:\WINDOWS\system32\XP-22D3EACE.EXE','');
 QuarantineFile('c:\windows\system32\csrcs.exe','');
 QuarantineFile('C:\WINDOWS\system32\ytahwr.exe','');
 DeleteFile('C:\WINDOWS\system32\ytahwr.exe');
 DeleteFile('c:\windows\system32\csrcs.exe');
 DeleteFile('C:\WINDOWS\system32\XP-22D3EACE.EXE');
 DeleteFile('C:\WINDOWS\system32\b2ed6e1e.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('E:\autorun.wsh');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\EbyyRF.Exe');
 DeleteFile('F:\ebYyRF.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteRepair(16);
ExecuteRepair(20);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\ujobbda.exe
C:\WINDOWS\system32\byrvblt.exe
C:\WINDOWS\system32\rcawvpa.exe
C:\WINDOWS\system32\sroihmn.exe
C:\WINDOWS\system32\dyirvsi.exe
C:\WINDOWS\system32\oucqnwe.exe
C:\WINDOWS\system32\5807f98b.exe
C:\WINDOWS\system32\ulzypmx.exe
C:\WINDOWS\system32\zgqogdd.exe
C:\WINDOWS\system32\kkrnpzv.exe
C:\WINDOWS\system32\yunyeij.exe
C:\WINDOWS\system32\vnvmpyd.exe
C:\WINDOWS\system32\vpxolvl.exe
C:\WINDOWS\system32\prjuaii.exe
C:\WINDOWS\system32\uvuyif.exe
C:\WINDOWS\system32\ovljfbm.exe
C:\WINDOWS\system32\tooclfb.exe
C:\WINDOWS\system32\xornixl.exe
C:\WINDOWS\system32\rtkszyu.exe
C:\WINDOWS\system32\bnwxndk.exe
C:\WINDOWS\system32\xqdieme.exe
C:\WINDOWS\system32\cjsqidi.exe
C:\WINDOWS\system32\ludctor.exe
C:\WINDOWS\system32\srqdrog.exe
C:\WINDOWS\system32\unizzhc.exe
C:\WINDOWS\system32\vpinare.exe
C:\WINDOWS\system32\jbdjzon.exe
C:\WINDOWS\system32\iizuvjb.exe
C:\WINDOWS\system32\ismvnlt.exe
C:\WINDOWS\system32\tbgutiz.exe
C:\WINDOWS\system32\aaopdo.exe
C:\WINDOWS\system32\dupcrkm.exe
C:\WINDOWS\system32\klalkgb.exe
C:\WINDOWS\system32\gybumpp.exe
C:\WINDOWS\system32\ulcwpc.exe
C:\WINDOWS\system32\vbinqjb.exe
C:\WINDOWS\system32\xyipms.exe
C:\WINDOWS\system32\hkzgaif.exe
C:\WINDOWS\system32\kzegrpi.exe
C:\WINDOWS\system32\xyrbicn.exe
C:\WINDOWS\system32\bwjoay.exe
C:\WINDOWS\system32\sinrelf.exe
C:\WINDOWS\system32\iraoyea.exe
C:\WINDOWS\system32\odcxqdp.exe
C:\WINDOWS\system32\eetnlom.exe
C:\WINDOWS\system32\rmeyzkj.exe
C:\WINDOWS\system32\iodslkr.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\ytahwr.exe
C:\WINDOWS\system32\b2ed6e1e.exe
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.



Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Добавлено через 5 часов 15 минут 58 секунд
C:\WINDOWS\system32\csrcs.exe - Trojan.Win32.Autoit.aft (DrWeb: Win32.HLLW.Autoruner.based, Avast5: AutoIt:Balero-C)
E:\autorun.wsh - VBS:Malware-gen
F:\EbyyRF.Exe - Trojan.Win32.Autoit.aft (DrWeb: Win32.HLLW.Autoruner.based, Avast5: AutoIt:Balero-C)
C:\WINDOWS\system32\b2ed6e1e.exe - Backdoor.Win32.Shiz.gen (DrWeb: Trojan.Packed.20771, Avast5: Win32:MalOb-BW)
C:\WINDOWS\system32\ytahwr.exe - Backdoor.Win32.Shiz.gen (DrWeb: Trojan.Packed.20771, Avast5: Win32:MalOb-BW)
 
P

pasha28128

#8
После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.



Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Во вложениях логи.
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,963
Симпатии
12,254
#9
Удалите при помощи MBAM:

Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Quarantined and deleted successfully.
И повторите логи AVZ и RSIT для контроля.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу