Комп тормозит безбожно, найдены вирусы

@d_egor · Регистрация: 01.07.2010

Author24 — интернет-сервис помощи студентам

В безопасном режиме CureIT нашел около 40-ка Trojan.Packed.20032 и по одному Exploit.Java.32 и Exploit.Java.33. Помимо тормозов, не зайти на некоторые сайты, например на АВЗ (естественно обновить его тоже не выходит с их сайта)!!!

@FilipFray · 04.07.2010, 23:15

C:\WebServers\denwer\Boot.exe - известно?
C:\Program Files\PartyGaming\PartyPoker\RunApp.exe - известно?

На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\fd148f0.exe','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 DeleteFile('C:\WINDOWS\system32\fd148f0.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится. В папке с AVZ появится архив с именем quarantine.zip, отправьте его на StanlyTvidelWERmail.ru, где WER = @ Укажите ссылку на свою тему.

Пофиксить в HijackThis

Код

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\fd148f0.exe,\\?\globalroot\systemroot\system32\bKkDkHG.exe,

Добавлено через 23 секунды
Обновите базы AVZ и повторите логи.

@d_egor · 05.07.2010, 08:57 **[ТС]**

Да, оба известны.
Скрипт в АВЗ сделал.
В Хайджеке такой строки не нашел, следовательно не пофиксил.
Логи прилагаю.

@FilipFray · 05.07.2010, 15:36

Ничего плохого не увидел. Что с проблемами?

@d_egor · 05.07.2010, 17:40 **[ТС]**

Тормозить еще сильнее стал

, файерфокс стал идти артефактами при прокрутке страницы

@FilipFray · 05.07.2010, 17:47

http://www.malwarebytes.org/mbam-download.php - загрузите программу (~6 mb)
Произведите установку и обновление баз.
На вкладке "Сканнер" выберите "Полное сканирование" и нажмите на кнопку "Сканирование".
После сканирования нажмите кнопку "Показать результаты". Затем нажмите кнопку "сохранить отчет".
Закройте программу, но ничего самостоятельно не удаляйте.
Отчет работы программы добавьте к вашему сообщению.

Есть процессы которые сильно нагружают ЦП? Температура видеокарты нормальная? Через другие браузеры?

@d_egor · 05.07.2010, 20:12 **[ТС]**

Вот такая не радужная картина совсем!
ЦП вроде в норме. температура вроде тоже, артефакты начались после начала чистки.

@FilipFray · 05.07.2010, 20:50

На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\TDSStkdu.log','');
 QuarantineFile('C:\WINDOWS\system32\TDSSlxwp.dll','');
 QuarantineFile('C:\WINDOWS\system32\_id.dat','');
 QuarantineFile('C:\Program Files\Common Files\keylog.txt','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните после перезагрузки

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив с именем quarantine.zip, отправьте его на StanlyTvidelWERmail.ru, где WER = @ Укажите ссылку на свою тему.

Запустите файл из вложения. Полсе запуска появится папка aaaaa. Добавьте ее в архив и отправьте на имейл:
StanlyTvidelWERmail.ru, где WER = @ Укажите ссылку на свою тему.

@d_egor · 06.07.2010, 17:32 **[ТС]**

Все сделал, архивы у вас на почте

@FilipFray · 06.07.2010, 18:01

C:\Program Files\Common Files\keylog.txt - отправьте на мой имейл.

Код

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\

Правой кнопкой по разделу Services, в контекстном меню выбрать пункт Экспортировать. Сохраненный файл отправьте на мой имейл.

@d_egor · 06.07.2010, 18:13 **[ТС]**

Честно сказать не понял, что сделать

C:\Program Files\Common Files\keylog.txt файл пустой, остальное не понял ка сделать, простите

@FilipFray · 06.07.2010, 18:16

Пуск - Выполнить, ввести regedit Перейти к указанному разделу...

@d_egor · 06.07.2010, 18:33 **[ТС]**

Все сделал, keylog.txt пустой и даже не прикрепляется к письму

@FilipFray · 06.07.2010, 18:41

Вы прислали содержимое

Код

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

Нужно было прислать

Код

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\

@d_egor · 06.07.2010, 18:48 **[ТС]**

извиняюсь, исправил, отправил

@FilipFray · 06.07.2010, 19:05

Удалить в MBAM

Код

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{73364d99-1240-4dff-b12a-67e448373148} (Trojan.Bzub) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{73364d99-1240-4dff-b12a-67e448373148} (Trojan.Bzub) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TDSSdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\TDSSlxwp.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\TDSStkdu.log (Rootkit.TDSS) -> No action taken.

Повторите лог MBAM.

@d_egor · 06.07.2010, 20:52 **[ТС]**

Сделал

@FilipFray · 07.07.2010, 00:05

Ничего плохого.

@d_egor 0 / 0 / 0 Регистрация: 01.07.2010 Сообщений: 20
	06.07.2010, 18:13 [ТС]	11
	Честно сказать не понял, что сделать C:\Program Files\Common Files\keylog.txt файл пустой, остальное не понял ка сделать, простите 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	04.07.2010, 23:15	2
	C:\WebServers\denwer\Boot.exe - известно? C:\Program Files\PartyGaming\PartyPoker\RunApp.exe - известно? На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы! Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить" Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\fd148f0.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); DeleteFile('C:\WINDOWS\system32\fd148f0.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. Компьютер перезагрузится. В папке с AVZ появится архив с именем quarantine.zip, отправьте его на StanlyTvidelWERmail.ru, где WER = @ Укажите ссылку на свою тему. Пофиксить в HijackThis Код F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\fd148f0.exe,\\?\globalroot\systemroot\system32\bKkDkHG.exe, Добавлено через 23 секунды Обновите базы AVZ и повторите логи. 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	05.07.2010, 15:36	4
	Ничего плохого не увидел. Что с проблемами? 0

@d_egor 0 / 0 / 0 Регистрация: 01.07.2010 Сообщений: 20
	05.07.2010, 17:40 [ТС]	5
	Тормозить еще сильнее стал , файерфокс стал идти артефактами при прокрутке страницы 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	05.07.2010, 17:47	6
	http://www.malwarebytes.org/mbam-download.php - загрузите программу (~6 mb) Произведите установку и обновление баз. На вкладке "Сканнер" выберите "Полное сканирование" и нажмите на кнопку "Сканирование". После сканирования нажмите кнопку "Показать результаты". Затем нажмите кнопку "сохранить отчет". Закройте программу, но ничего самостоятельно не удаляйте. Отчет работы программы добавьте к вашему сообщению. Есть процессы которые сильно нагружают ЦП? Температура видеокарты нормальная? Через другие браузеры? 0

@d_egor 0 / 0 / 0 Регистрация: 01.07.2010 Сообщений: 20
	06.07.2010, 17:32 [ТС]	9
	Все сделал, архивы у вас на почте 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	06.07.2010, 18:01	10
	C:\Program Files\Common Files\keylog.txt - отправьте на мой имейл. Код HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\ Правой кнопкой по разделу Services, в контекстном меню выбрать пункт Экспортировать. Сохраненный файл отправьте на мой имейл. 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	06.07.2010, 18:16	12
	Пуск - Выполнить, ввести regedit Перейти к указанному разделу... 0

@d_egor 0 / 0 / 0 Регистрация: 01.07.2010 Сообщений: 20
	06.07.2010, 18:33 [ТС]	13
	Все сделал, keylog.txt пустой и даже не прикрепляется к письму 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	06.07.2010, 18:41	14
	Вы прислали содержимое Код HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services Нужно было прислать Код HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\ 0

@d_egor 0 / 0 / 0 Регистрация: 01.07.2010 Сообщений: 20
	06.07.2010, 18:48 [ТС]	15
	извиняюсь, исправил, отправил 0

	07.07.2010, 00:05

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	07.07.2010, 00:05	18
	Ничего плохого. 1