Pianca Posted September 1, 2009 Report Share Posted September 1, 2009 (edited) Добрый день. Недавно переустановили Windows, через некоторое время начал тупить интернет. Очень медленно открываются странички. Перестала работать Opera, Light Alloy. Антивирус NOD 32. Находил 2 раза троян. Выполнила ПРАВИЛА http://www.softboard.ru/index.php?showtopic=51343 Прикрепляю полученные логи: Заранее спасибо! i Уведомление:Убрал карантин. virusinfo_syscure.zip info.txt log.txt virusinfo_syscure.zip info.txt log.txt Edited September 1, 2009 by akoK Link to comment Share on other sites More sharing options...
миднайт Posted September 1, 2009 Report Share Posted September 1, 2009 (edited) Закройте/выгрузите все программы кроме AVZ и Internet Explorer. - Отключите ПК от интернета/локалки - Отключите Антивирус и Файрвол. - Отключите Системное восстановление. Пофиксите строчки в HiKackThis: R3 - URLSearchHook: (no name) - - (no file)O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') Выполните скрипт в AVZ: beginSearchRootkit(true, true);SetAVZGuardStatus(True);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;ExecuteWizard('TSW',3,3,true);ExecuteRepair(4);RebootWindows(true);end. Логи повторите. C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\intro.exe - это известная вам программа? ! Предупреждение:Убрал спорную команду Edited September 1, 2009 by akoK Link to comment Share on other sites More sharing options...
akoK Posted September 1, 2009 Report Share Posted September 1, 2009 (edited) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginRegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Проверьте на www.virustotal.com (результат сообщите) C:\WINDOWS\System32\Drivers\sfc.SYS C:\WINDOWS\system32\sfcfiles.dll Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.(Подробнее) Включите AVZPM и повторите логи. Edited September 1, 2009 by akoK Link to comment Share on other sites More sharing options...
Pianca Posted September 2, 2009 Author Report Share Posted September 2, 2009 миднайт, Профиксила указанное. Скрипт скопировала и выполнила в AVZ, после чего компьютер не перезагружался. Пришлось воспользоваться кнопкой reset. Может не надо было? :) Программа intro.exe - это заставка при запуске Windows, такая же как аватарка у Akok. akoK , 1. Выполнила скрипт, архив отправила Вам на e-mail. 2. Почистила ATF Cleaner_ом. 3. Проверьте на www.virustotal.com (результат сообщите)C:\WINDOWS\System32\Drivers\sfc.SYS C:\WINDOWS\system32\sfcfiles.dll Этих файлов не нашла.4. Просканировала Malwarebytes' Anti-Malware. Нашлось 9 зараженных объектов. Отчет прилагается. 5. Запустила AVZPM-установить драйвер расширенного мониторинга процессов. 6. В AVZ выполнила скрипты 3 и 2. Логи прилагаются. При перезагрузке пишет 'A problem has been detected and Windows has been shut down to prevent damage to your compter'. mbam_log_2009_09_02__01_44_43_.txt virusinfo_syscheck.zip virusinfo_syscure.zip mbam_log_2009_09_02__01_44_43_.txt virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
akoK Posted September 2, 2009 Report Share Posted September 2, 2009 (edited) Провел глубокий поиск. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');QuarantineFile('C:\WINDOWS\system32\hidec','');DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Как использовать ComboFix - Руководство по применению Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Edited September 2, 2009 by akoK Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now