Jump to content
СофтФорум - всё о компьютерах и не только

Необходима помощь


Recommended Posts

Комп под ХР заметно тормозит при загрузке и выключении (особенно при выключении). В службах Windows нашел службу "ylwzory"(стоит тип запуска "Авто", описалова нет), на которую нет никакой возможности повлиять.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Link to comment
Share on other sites

Проведите проверку пока MBAM а там по результатам посмотрим какую артилерию применить.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

+

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Edited by edde
Link to comment
Share on other sites

Malwarebytes' Anti-Malware 1.44

Версия базы данных: 3808

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

01.03.2010 14:06:36

mbam-log-2010-03-01 (14-06-36).txt

Тип проверки: Полная (C:\|D:\|L:\|)

Проверено объектов: 230047

Прошло времени: 28 minute(s), 27 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 16

Заражено значений реестра: 1

Заражено параметров реестра: 6

Заражено папок: 4

Заражено файлов: 10

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_CLASSES_ROOT\CLSID\{ff4ec53a-ca51-9a39-6cdd-5ffb26fb445c} (Spyware.Bividon) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Adware.MyCentria) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\advantage (Adware.Vomba) -> Quarantined and deleted successfully.

Заражено значений реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Заражено папок:

C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

C:\Program Files\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.

C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> Quarantined and deleted successfully.

C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> Quarantined and deleted successfully.

Заражено файлов:

C:\WINDOWS\Temp\4.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.

L:\Program Files\PEID\PLUGINS\ZDRX.DLL (Malware.Packer.Gen) -> Quarantined and deleted successfully.

L:\Instal\Nero 7.0.5.4 RUS\Keygen\Nero.Burning.ROM.7.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.

C:\Program Files\MyCentria\MyCentriaUninstall.exe (Adware.MyCentria) -> Quarantined and deleted successfully.

C:\Program Files\MyCentria\Firefox\adcentria.xml (Adware.MyCentria) -> Quarantined and deleted successfully.

C:\Program Files\MyCentria\Firefox\adcentria.uid (Adware.MyCentria) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\inst.dat (Keylogger) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\pk.bin (Keylogger) -> Quarantined and deleted successfully.

gmer.log

gmer.log

Link to comment
Share on other sites

Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)

fkxt0k1r.exe -del service fyaglekh fkxt0k1r.exe -del service nqqkmffkxt0k1r.exe -del file "C:\WINDOWS\system32\tkvuip.dll"fkxt0k1r.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\fyaglekh"fkxt0k1r.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\nqqkmf"fkxt0k1r.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fyaglekh"fkxt0k1r.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nqqkmf"fkxt0k1r.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fyaglekh"fkxt0k1r.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nqqkmf"fkxt0k1r.exe -reboot

Сделайте новый лог gmer.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...