Решена Начал подтормаживать компьютер...

[Warrior Kratos]

Всем привет! С недавних пор начал замечать на старом компе тормоза, система долго грузится, браузеры... Решил полностью довериться нашим замечательным вирусоборцам!!! Логи сделал.

 

[Severnyj]

Привет, сейчас погляжу

Добавлено через 13 минут 3 секунды
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteAVUpdateEx('http://avz.safezone.cc/base/', 0, '','','');
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('L:\Users\Jin\AppData\Roaming\', '*.tmp;*.exe', false, '', 0, 0);
 QuarantineFile('0.exe','');
 QuarantineFile('lanmanworkstationVSS.sys','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Transcend\SJelite3\asmtusb.dll','');
 QuarantineFile('c:\documents and settings\Администратор\application data\transcend\sjelite3\sjelite3launch.exe','');
 DeleteFile('0.exe');
 DeleteFileMask('L:\Users\Jin\AppData\Roaming\', '*.tmp;*.exe', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

[Warrior Kratos]

Severnyj, Спасибо, с тренировки приду выполню

 

[Warrior Kratos]

Так, карантин выслал, логи прилагаю.

 

[Severnyj]

Повторите сканирование MBAM и удалите все кроме этих строк:

c:\system volume information\_restore{179124b2-9dca-40d9-ad1e-a0e610a11014}\rp556\a0265002.exe (Trojan.FakeSMS) -> No action taken.
c:\system volume information\_restore{179124b2-9dca-40d9-ad1e-a0e610a11014}\rp556\a0265003.exe (Trojan.FakeSMS) -> No action taken.
d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
d:\program files\WinRar 3.2\kgwinrar.exe (Trojan.Agent.CK) -> No action taken.
d:\program files\alcohol soft\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
d:\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.

Пофиксите в HJT:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
R3 - URLSearchHook: (no name) - {7b6de06c-7013-4a87-957e-d27d7b977d21} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: (no name) - {1D69644B-A39B-408C-85F1-73E247F3FD93} - (no file)
O2 - BHO: (no name) - {7b6de06c-7013-4a87-957e-d27d7b977d21} - (no file)
O3 - Toolbar: (no name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - (no file)
O3 - Toolbar: (no name) - {7b6de06c-7013-4a87-957e-d27d7b977d21} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Файлы:

2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcreg.dat
2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcinfot.dat

- Проверьте на Virustotal

 

[Warrior Kratos]

Повторите сканирование MBAM и удалите все кроме этих строк:

сделано

Пофиксите в HJT:

Выполнено

2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcreg.dat
2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcinfot.dat

Это видео, могу за них поручится, но если надо то проверю, завтра. Сегодня уже никак.
Severnyj, огромное спасибо за помощь!!!

 

[Severnyj]

Если поручаетесь то не нужно.

Как самочувствие компьютера?

Диск L это что?

Программу для флешек Transcend сами ставили?

Повторите логи AVZ и RSIT для контроля!

 

[Warrior Kratos]

Как самочувствие компьютера?

пока тормозить меньше стал

Диск L это что?

такого диска нет и флешки с таким названием нет. В логе авз тоже его не видно. Думаю в скрипт это попало случайно:

QuarantineFileF('L:\Users\Jin\AppData\Roaming\', '*.tmp;*.exe', false, '', 0, 0);

DeleteFileMask('L:\Users\Jin\AppData\Roaming\', '*.tmp;*.exe', false);

Программу для флешек Transcend сами ставили?

Да, она от внешнего ЖД.

Повторите логи AVZ и RSIT для контроля!

Хорошо, сейчас сделаю.
Кстати папка Users у меня на С

 

[Severnyj]

такого диска нет и флешки с таким названием нет. В логе авз тоже его не видно. Думаю в скрипт это попало случайно

Зато в первом логе RSIT было.

 

[Warrior Kratos]

Зато в первом логе RSIT было.

хм, не вижу. Ткни пальцем...

 

[Warrior Kratos]

Третий комплект логов

 

[Severnyj]

хм, не вижу. Ткни пальцем...

Спойлер

2011-09-29 08:11:35 ----A---- L:\Users\Jin\AppData\Roaming\42FC.exe
2011-09-29 08:10:31 ----A---- L:\Users\Jin\AppData\Roaming\4A4B.exe
2011-09-29 08:10:24 ----A---- L:\Users\Jin\AppData\Roaming\3035.tmp
2011-09-28 22:54:48 ----A---- L:\Users\Jin\AppData\Roaming\1A3F.tmp
2011-09-28 22:54:37 ----A---- L:\Users\Jin\AppData\Roaming\F071.exe
2011-09-28 18:59:05 ----A---- L:\Users\Jin\AppData\Roaming\4A5D.exe
2011-09-28 18:42:59 ----A---- L:\Users\Jin\AppData\Roaming\8D54.exe
2011-09-28 17:40:31 ----A---- L:\Users\Jin\AppData\Roaming\5BA8.exe
2011-09-28 17:40:27 ----A---- L:\Users\Jin\AppData\Roaming\4DF1.exe
2011-09-28 12:40:23 ----A---- L:\Users\Jin\AppData\Roaming\75FB.exe
2011-09-28 12:40:17 ----A---- L:\Users\Jin\AppData\Roaming\5C05.exe
2011-09-28 11:16:07 ----A---- L:\Users\Jin\AppData\Roaming\3E0A.exe
2011-09-28 11:15:06 ----A---- L:\Users\Jin\AppData\Roaming\4F19.exe
2011-09-28 11:10:28 ----A---- L:\Users\Jin\AppData\Roaming\4CEA.exe
2011-09-28 11:10:24 ----A---- L:\Users\Jin\AppData\Roaming\3D40.exe
2011-09-28 11:10:17 ----A---- L:\Users\Jin\AppData\Roaming\249F.exe
2011-09-28 09:54:09 ----A---- L:\Users\Jin\AppData\Roaming\32D.exe
2011-09-28 09:53:06 ----A---- L:\Users\Jin\AppData\Roaming\C9D.exe
2011-09-28 07:32:44 ----A---- L:\Users\Jin\AppData\Roaming\ACC4.exe
2011-09-28 07:31:14 ----A---- L:\Users\Jin\AppData\Roaming\495E.exe
2011-09-27 23:02:01 ----A---- L:\Users\Jin\AppData\Roaming\4C8B.exe
2011-09-27 23:01:55 ----A---- L:\Users\Jin\AppData\Roaming\365C.exe
2011-09-27 23:01:44 ----A---- L:\Users\Jin\AppData\Roaming\D48.exe
2011-09-27 20:16:33 ----A---- L:\Users\Jin\AppData\Roaming\6A58.tmp
2011-09-27 20:16:20 ----A---- L:\Users\Jin\AppData\Roaming\37C3.exe
2011-09-27 20:16:07 ----A---- L:\Users\Jin\AppData\Roaming\379.exe
2011-09-27 14:59:50 ----A---- L:\Users\Jin\AppData\Roaming\D136.exe
2011-09-27 14:59:41 ----A---- L:\Users\Jin\AppData\Roaming\B202.tmp
2011-09-27 12:54:39 ----A---- L:\Users\Jin\AppData\Roaming\369A.exe
2011-09-27 12:54:34 ----A---- L:\Users\Jin\AppData\Roaming\2200.exe
2011-09-27 10:57:22 ----A---- L:\Users\Jin\AppData\Roaming\55B3.exe

Добавлено через 6 минут 9 секунд
В логах подозрительного не видно, если не сами прописывали прокси то пофиксите в HJT еще и это:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:80

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

• Adobe Flash Player
• Java

 

[Warrior Kratos]

Severnyj, хорошо, спасибо. А чего хоть это было?? Настоящего заражения ведь не было, да?

 

[Severnyj]

По логу MBAM было много рекламного мусора.

Да и RSIT думаю не мог ошибиться - похоже на сетевого червя. Так что обновиться не помешает.

 

[Warrior Kratos]

Так что обновиться не помешает.

хорошо, сейчас сделаем

Добавлено через 8 минут 21 секунду
Эээ, тему можно закрыть