Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] блокирует сайты антивирусов, замедляет работу пк (http://forum.oszone.net/showthread.php?t=180772)

gorylev 17-07-2010 05:53 1454845
блокирует сайты антивирусов, замедляет работу пк
 
Уже в третий раз такая проблема, неожиданно с компьютером начинает твориться какая то ерунда. Первый раз был 3-4 месяца назад, смотрел скриншоты фильма на каком то варезнике, неожиданно повисла вся нижняя панель пуск, попробовал зайти и скачать антивирус, но не смог зайти ни на один сайт антивирусника базы так же не обновлялись. Переустановил ось. Через неделю все повторилось, не заметил свернутую игру и запустил еще одну, после того как наигрался и вышел на рабочий стол увидел знакомую картину, не задумываясь, переустановил ось. Два дня назад опять все сломалось^^, опишу подробнее..... включил mp3 файл (в проигрывателе поставлена опция "повтор") ушел на кухню на 20 минут, вернулся зашел вконтакт с целью посмотреть видео, к моему удивлению пропал звук во всех браузерах (IE, Firefox-основной) попробовал переустановить кодеки и флэш проигрыватель-не помогло, сделал ребут после чего попытался запустить IE но тот уже был мертв. Скачал пробник касперского на 30 дней поставил, обновил, запустил полную проверку, во время проверки зашел вконтакт включил видео и звук появился, я не долго думая отменил проверку удалил касперского и сделал ребут, и опять увидел старую картину. Прикреплю скриншоты и логи. После ребута нижняя панель прогружается минут 8 ну и потом в течение всей работы так же периодически зависает, при запуске или установке игры/программы панель сразу же зависает.

в hosts ничего лишнего, kidokiller не помог, рассчитываю на вашу помощь. еще заметил что цп загружен на 100%

thyrex 17-07-2010 11:19 1454905
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3cf0a0bf.exe,C:\WINDOWS\system32\ckjxnl.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
 QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\ckjxnl.exe','');
 QuarantineFile('C:\WINDOWS\system32\3cf0a0bf.exe','');
 QuarantineFile('C:\Documents and Settings\amun\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 DeleteFile('C:\Documents and Settings\amun\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\WINDOWS\system32\3cf0a0bf.exe');
 DeleteFile('C:\WINDOWS\system32\ckjxnl.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
DeleteFile('%windir%\system32\drivers\sfc.sys');
 DeleteFile('C:\WINDOWS\system32\mssfc.dll');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Скачайте AVZ 4.34

Сделайте новые логи

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

iskander-k 17-07-2010 19:27 1455121
Обновите АВЗ и сделайте новые логи.

gorylev 17-07-2010 19:32 1455125
пофиксил, выполнил скрипт, ребутнулся и машинка ожила сайты разблокировались, выполнять дальнейшие ваши рекомендации или остановиться на достигнутом?

thyrex 17-07-2010 19:52 1455132
Выполнять в обязательном порядке

gorylev 17-07-2010 20:28 1455150
логи

gorylev 17-07-2010 20:51 1455171
ответ от support.kaspersky.ru



3cf0a0bf.exe - Backdoor.Win32.Shiz.kz
ckjxnl.exe - Trojan.Win32.Jorik.Shiz.ay
setupapi.dll,
setupapi_0.dll - Trojan.Win32.BHO.aihr
wwwznv32.exe - Backdoor.Win32.Bredavi.dgv

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

mssfc.dll
sfcfiles.dll

Файлы в процессе обработки.

Drongo 17-07-2010 22:51 1455231
gorylev, Выполните рекомендации

• Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\yjmblld.exe
C:\WINDOWS\system32\ufiftfh.exe
C:\WINDOWS\system32\ckflhja.exe
C:\WINDOWS\system32\cecanho.exe
C:\WINDOWS\system32\mcmsdcq.exe
C:\WINDOWS\system32\flpugzp.exe
C:\WINDOWS\system32\getlkgv.exe
C:\WINDOWS\system32\zmkvish.exe
C:\WINDOWS\system32\66223293.exe
C:\WINDOWS\system32\xbwaykp.exe
C:\WINDOWS\system32\eewmzr.exe
C:\WINDOWS\system32\ptzjneg.exe
C:\WINDOWS\system32\peevkb.exe
C:\WINDOWS\system32\kgbzbtq.exe
C:\WINDOWS\system32\tjigoij.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\fjhdyfhsn.bat
C:\WINDOWS\msdownld.tmp
C:\WINDOWS\system32\drivers\atinxsxx.sys
C:\WINDOWS\system32\drivers\atinxbxx.sys
C:\WINDOWS\system32\drivers\atintuxx.sys
C:\WINDOWS\system32\drivers\atinttxx.sys
C:\WINDOWS\system32\drivers\atinsnxx.sys
C:\WINDOWS\system32\drivers\atinrvxx.sys
C:\WINDOWS\system32\drivers\atinraxx.sys
C:\WINDOWS\system32\drivers\atinpdxx.sys
C:\WINDOWS\system32\drivers\atinmdxx.sys
C:\WINDOWS\system32\drivers\atinbtxx.sys
C:\WINDOWS\system32\drivers\ati2mtag.sys
C:\WINDOWS\system32\drivers\ati2mtaa.sys
C:\WINDOWS\system32\drivers\ati1xsxx.sys
C:\WINDOWS\system32\drivers\ati1xbxx.sys
C:\WINDOWS\system32\drivers\ati1tuxx.sys
C:\WINDOWS\system32\drivers\ati1ttxx.sys
C:\WINDOWS\system32\drivers\ati1snxx.sys
C:\WINDOWS\system32\drivers\ati1rvxx.sys
C:\WINDOWS\system32\drivers\ati1raxx.sys
C:\WINDOWS\system32\drivers\ati1pdxx.sys
C:\WINDOWS\system32\drivers\ati1mdxx.sys
C:\WINDOWS\system32\drivers\ati1btxx.sys

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Повторите логи RSIT

thyrex 17-07-2010 23:02 1455234
gorylev, если еще не поздно

Удалите из скрипта
Код:
C:\WINDOWS\msdownld.tmp
C:\WINDOWS\system32\drivers\atinxsxx.sys
C:\WINDOWS\system32\drivers\atinxbxx.sys
C:\WINDOWS\system32\drivers\atintuxx.sys
C:\WINDOWS\system32\drivers\atinttxx.sys
C:\WINDOWS\system32\drivers\atinsnxx.sys
C:\WINDOWS\system32\drivers\atinrvxx.sys
C:\WINDOWS\system32\drivers\atinraxx.sys
C:\WINDOWS\system32\drivers\atinpdxx.sys
C:\WINDOWS\system32\drivers\atinmdxx.sys
C:\WINDOWS\system32\drivers\atinbtxx.sys
C:\WINDOWS\system32\drivers\ati2mtag.sys
C:\WINDOWS\system32\drivers\ati2mtaa.sys
C:\WINDOWS\system32\drivers\ati1xsxx.sys
C:\WINDOWS\system32\drivers\ati1xbxx.sys
C:\WINDOWS\system32\drivers\ati1tuxx.sys
C:\WINDOWS\system32\drivers\ati1ttxx.sys
C:\WINDOWS\system32\drivers\ati1snxx.sys
C:\WINDOWS\system32\drivers\ati1rvxx.sys
C:\WINDOWS\system32\drivers\ati1raxx.sys
C:\WINDOWS\system32\drivers\ati1pdxx.sys
C:\WINDOWS\system32\drivers\ati1mdxx.sys
C:\WINDOWS\system32\drivers\ati1btxx.sys

gorylev 17-07-2010 23:05 1455236
не поздно

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\yjmblld.exe moved successfully.
C:\WINDOWS\system32\ufiftfh.exe moved successfully.
C:\WINDOWS\system32\ckflhja.exe moved successfully.
C:\WINDOWS\system32\cecanho.exe moved successfully.
C:\WINDOWS\system32\mcmsdcq.exe moved successfully.
C:\WINDOWS\system32\flpugzp.exe moved successfully.
C:\WINDOWS\system32\getlkgv.exe moved successfully.
C:\WINDOWS\system32\zmkvish.exe moved successfully.
C:\WINDOWS\system32\66223293.exe moved successfully.
C:\WINDOWS\system32\xbwaykp.exe moved successfully.
C:\WINDOWS\system32\eewmzr.exe moved successfully.
C:\WINDOWS\system32\ptzjneg.exe moved successfully.
C:\WINDOWS\system32\peevkb.exe moved successfully.
C:\WINDOWS\system32\kgbzbtq.exe moved successfully.
C:\WINDOWS\system32\tjigoij.exe moved successfully.
C:\Program Files\Common Files\keylog.txt moved successfully.
C:\WINDOWS\system32\fjhdyfhsn.bat moved successfully.
C:\WINDOWS\msdownld.tmp folder moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: amun
->Temp folder emptied: 279211374 bytes
->Temporary Internet Files folder emptied: 220117044 bytes
->FireFox cache emptied: 102389298 bytes
->Flash cache emptied: 36794 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: амропаопо
->Temp folder emptied: 603881 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 18394243 bytes
->Flash cache emptied: 760 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2334567 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1220688 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 41922451 bytes

Total Files Cleaned = 636,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 07172010_230809

Files moved on Reboot...

Registry entries deleted on Reboot...

gorylev 17-07-2010 23:22 1455241
rsit

thyrex 17-07-2010 23:26 1455243
Сделайте новые логи RSIT

gorylev 17-07-2010 23:28 1455247
дак ведь только что сделал

thyrex 17-07-2010 23:32 1455250
Уже увидел

Чисто

Скачайте OTCleanIt, запустите, нажмите Clean up

Установите Acrobat Reader 9.3 или удалите старый

gorylev 17-07-2010 23:40 1455259
сделал

gorylev 20-07-2010 14:43 1456688
огромное всем спасибо за помощь!


Время: 06:34.

Время: 06:34.
© OSzone.net 2001-