[решено] Вирусы на компе, полно различных процессов , помогите !

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Вирусы на компе, полно различных процессов , помогите !

Много процессов в диспетчере , иногда сисстема виснет от загрузки процессора на 100% , напишите пж как сделать логи и прочее чтобы вы могли помочь мне !

Краткие правила по запросу помощи в лечении (на выполнение этих пунктов требуется всего 15 - 20 минут вашего времени)

вот логи , жду помощи ! =)

Здравствуйте,

Сейчас посмотрю логи.

>> Заблокирован пункт меню Справка и техподдержка
Сами блокировали?

Цитата:

База поcледний раз обновлялась 19.04.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы AVZ

Видно, что использовали ComboFix. Лог сканирования можна увидеть?

Файл C:\WINDOWS\zip.exe проверьте на virustotal и дайте ссылку на результат.

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe,explorer.exe','');

 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');

 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll','');

DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');

 DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe,explorer.exe');

DeleteFileMask('C:\Documents and Settings\All Users\Application Data\SecTaskMan\','*.*',true);

DeleteDirectory('C:\Documents and Settings\All Users\Application Data\SecTaskMan\');

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

Цитата:

Цитата Farger

>> Заблокирован пункт меню Справка и техподдержка
Сами блокировали? »

нет ничего не блокировал,базы обновлял как только скачал , не знаю почему написано 19.04...

http://www.virustotal.com/file-scan/report.html?id=2e28e6e768d5f0c821d45209e702d01be0a9fb632d7fd83620bcb71cc9ae00f9-1304346867

1.Афтклинером тоже пользовался вот что выдовало и выдаёт на рисунке посмотришь.

2.Ответ так и не пришел =)

3.лог прикрепил

4. лог прикрепил

Цитата:

Цитата Zmeu

1.Афтклинером тоже пользовался вот что выдовало и выдаёт на рисунке посмотришь. »

короче там пишет "No files for remove"

Здравствуйте,

1. По логу AVZ видно, что не обновляли. Скрипт выполнили?
2. Ждите.
3. Ок.
4. Удалить в MBAM: запустить полное сканирование, отметить эти строчки - нажать Remove selected

Цитата:

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Заражённые файлы:
d:\avz4\Infected\2011-05-06\avz00001.dta (Adware.WhenU) -> No action taken.
d:\system volume information\_restore{6726caab-97af-438b-8ccd-4a9c54d986f8}\RP102\A0020001.exe (Backdoor.RBot) -> No action taken.

5. Повторить логи AVZ и прикрепить новые virusinfo_syscure.zip и virusinfo_syscheck.zip к вашему следующему сообщению.

Добавлено позже: не могу открыть вашу ссылку на результат virustotal. Запостите наново.

скачайте и установите все последние обновления для безопасности windows.

Цитата:

Цитата Farger

1. По логу AVZ видно, что не обновляли »

так до сих пор и не обновили. 08-05-2011 были выпущены свежие базы.

обновил чувак ! уже 3 раза !!!!!!!!!!!!!!!!!!!!!!!!!

Zmeu, - За нецензурщину бан можете получить.

А как вы обновляли базы AVZ?

В логах чисто. Что с проблемами?

>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений

Сами устанавливали?

нет а что это ?
Я скачал avz по ссылке и обновлял , ничего в настройках не менял.

Здравствуйте,

Откройте AVZ -> Файл -> Мастер поиска и устранения проблем -> Системные проблемы -> Все проблемы -> Поиск - затем отметьте таймауты и "Исправить".

Что с проблемами?

успешно исправлены

Хорошо, но я имел ввиду общую картину - те проблемы, с которыми вы сюда обратились - устранены?

Ответ по карантину уже получили?

Ответ не получил, проблема вроде как и устранилась, глючить перестал, но такое же большое количество процессво svchost.exe осталось + теперь когда нажимаю стандартно двумя щелчками на вход в локальный диск выдаёт поиск почему-то, чтобы войти нужно открыть вкладку и там выбрать открыть чтобы войти , Ничего не менял само как-то появилось =/

Цитата:

Цитата Zmeu

но такое же большое количество процессво svchost.exe осталось »

Большое - это сколько? Разные службы используюю svchost.exe...

Цитата:

Цитата Zmeu

теперь когда нажимаю стандартно двумя щелчками на вход в локальный диск выдаёт поиск почему-то, чтобы войти нужно открыть вкладку и там выбрать открыть чтобы войти , Ничего не менял само как-то появилось =/ »

Посмотрите здесь

Цитата:

Цитата Zmeu

Ответ не получил »

Проверьте спам.

И в догонку:

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение, а также эмулятор дисков. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

спс за решение с дисками =)

Проблем не видно.

1. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

2. Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

3. Скачайте и установите CCleaner . После установки откройте CCleaner -> Очистка -> Анализ -> Очистка

Пропал значок языковой панели теперь =/

все сделал но до этого значок пропал =/

Пуск - Панель управления - Язык и региональные стандарты - вкладка Языки - Подробнее - вкладка Параметры - Настройка (языковая панель) - поставить галочку отображать.

Попробуйте еще такое:

Скопируйте в блокнот, сохраните под любым именем с расширением .reg, кликните по файлу и подтвердите добавление в реестр.

Код:

Windows Registry Editor Version 5.00



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

Привет обновил файлы винды через апдатер появились svchost.exe LOCAL SERVICE и тормозят систему я их закрываю тогда норм!

Здравствуйте,

Языковая панель вернулась обратно?

Цитата:

Верным признаком наличия такого вируса является запущенный от имени пользователя «svchost.exe». Системный «svchost.exe» никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством механизма системных сервисов, никогда — из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig).

Привет,

Языковая панель вернулась обратно?

Цитата:

Системный «svchost.exe» никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством механизма системных сервисов, никогда — из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig).

Да языковую сам нашел как вернуть, вроде норм все спс ,можно прикрывать тему! =)

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt!

+ обновите Internet Explorer до 8-й версии.
+ обновите Java до последней версии.
+ обновите Adobe Reader до последней версии
+ обновите Adobe Flash Player

Ваша система была поражена ложным антивирусным проложением.