Подхватил несколько вирусов
 

Добрый вечер! Вот, походу опять вирусов понахватал...
В последнее время заметил, что в диспетчере задач появились странные процессы, также все процессы стали занимать больше памяти! Папка system32 стала невидима, галочка атрибута "скрытый" серая, убрать её нельзя! Также опера запускается очень долго, около 3 минут!
И ещё, процесс rundll32.exe в диспетчере порой кушает до 100 мегабайт! Процессор не грузит, но всё же очень подозрительно...

Помогите пожалуйста!

Здравствуйте,

Сейчас посмотрю логи.

Файл C:\WINDOWS\system32\drivers\ArcSec.sys проверьте на virustotal и дайте ссылку на результат.

Mobile Service Ltd – ваш провайдер?

C:\112 – что в папке?

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ и RSIT

Farger, Спасибо за ответ!

Нет, не мой... У меня оптоволоконная городская сеть...

Там нет ничего противозаконного =) Эта папка с утилитами (AVZ, RSIT и т.д.)

Начинаю выполнять скрипты!
__________________________________

Virustotal.com - отчет о файле

В HJT пофиксил только первый две строчки (R0, R3), остальных не нашел!
___________________________________
Всё время пытаются подконнектиться левые айпи

___________________________________

Всё, сканирование завершил, логи прилагаю!

1. Намеренно заблокировали активацию Adobe?

2. Переделайте лог RSIT

3. Еще раз повторите полное сканирование с помощью утилиты Malwarebytes’

4. Выполните скрипт AVZ:

меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

После выполнения скрипта компьютер перезагрузится!

Повторите логи AVZ.

Итого: новые логи AVZ, новый лог RSIT и новый лог MBAM.

Готово!

Да!

Папка system32 по прежнему скрыта и убрать галочку нельзя!

И почему процессы занимают так много памяти? Ведь раньше процессов, занимающих больше мегабайта было около 30-40% от всех процессов! Может это последствия вирусов?

TeamViewer.exe пользуетесь?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:
Ставим все последние обновления для SP3.

Сделайте повторные логи RSIТ

Да, в системе установлены две версии (5 и 6 версии). Эм... последнее время пока ими не пользуюсь.

Скрипты выполнил, архив отправил, всё пофиксил, логи RSIT обновил, сейчас буду ставить обновления!

что с проблемой?

Всё ещё

Насчет процессов, всё по прежнему...

И ещё, какие именно обновления мне качать?

все приоритетные обновления безопасности

затем делаем такой лог

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Поставил обновления из этой темы

Сделал лог ComboFix. Когда перезагрузил комп, такое ощущение, что все настройки вернулись на дефолтные (появились стрелочки у ярлыков, "Недавние документы" в меню Пуск), пару минут вообще не пускало в интернет! Но это ещё ничего, меня интересует, на диске G:\\ стало 78,2 свободных гига, хотя было около 10... вопрос, что удалилось?
Браузер так вообще еле грузит страницы, ждёт минуту перез загрузкой!

Простите за панику, но потом как-нибудь можно вернуть всё?
________________________________________________________
Вроде с интернетом всё нормальзовалось через некоторое время...

Здравствуйте,

Найдите путь C:\QooBox\ComboFix-quarantined-files.txt и прикрепите к вашему следующему сообщению.

Добрый вечер!

Файл прикрепил!

С интернетом творится что-то странное! Время от времени

Скопируйте текст ниже в блокнот и сохраните, как файл, с названием CFScript.txt на рабочий стол:

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe:



Когда ComboFix завершит работу, то создаст в корне системного диска лог DeQuarantine.txt, содержимое которого необходимо скопировать в свое сообщение.

C:\Qoobox\Quarantine\C\cwsandbox\cwsandbox.exe.vir -> C:\cwsandbox\cwsandbox.exe ( 69120 bytes )
C:\Qoobox\Quarantine\C\Documents and Settings\DarK\Application Data\PnkBstrB.exe.vir -> C:\Documents and Settings\DarK\Application Data\PnkBstrB.exe ( 189248 bytes )
C:\Qoobox\Quarantine\C\Program Files\Mail.ru\Agent\Mra\dll\newmrasearch.dll.vir -> C:\Program Files\Mail.ru\Agent\Mra\dll\newmrasearch.dll ( 67776 bytes )
C:\Qoobox\Quarantine\C\Thumbs.db.vir -> C:\Thumbs.db ( 57856 bytes )
C:\Qoobox\Quarantine\C\WINDOWS\system32\midas.dll.vir -> C:\WINDOWS\system32\midas.dll ( 293888 bytes )

__________________________________

И что делать с интернетом? После комбофикса страницы частенько еле грузятся, вообще невозможно куда-либо зайти! Торрент нормально работает, качает из сети, а браузеры (IE, Opera) тупят жутко!

1) Очистите кэш память браузеров.
в Internet Explorer - открыть окно браузера и выбрать «Инструменты» из меню на верхней панели, выбрать «Параметры Интернета» (последняя опция в списке).
находим кнопку «Удалить файлы». Щелкните по этой кнопке, затем отметьте «Удалить содержимое», затем нажимаем «Готово». Когда операция будет закончена, щелкните «Готово» и закройте окно панели управления.
Opera
Откройте браузер, выберите «Инструменты» из меню на верхней панели и наведите курсор на «Предпочтения», щелкните по опции «История и кэш память» нажмите «Очистить немедленно», по окончании операции щелкните «Готово» и закройте окно браузера.
Firefox
откройте окно браузера Firefox и щелкните «Инструменты» - «Опции», щелкните на иконке «Конфиденциальность». нажмите кнопку «Очистить», щелкните «Готово» и закройте окно браузера.

2) Проверка целостности конфигурации Winsock2 и ее восстановление при повреждении
Сброс настроек протокола TCP/IP в Windows ХР

3) или Воспользуетесь программой WinsockFix
Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !
Программа делает следующее:
1. Отключает все сетевые адаптеры.
2. Удаляет из реестра ключи Winsock и Winsock2, заменяя нужные параметры исходными значениями согласно "чистой" установке XP, чтобы запустить повторное построение службы Winsock, включая создание таблиц маршрутизации командой Netsh int ip reset resetlog.txt.
3. Разрешает работу сетевых адаптеров.
4. Проверяет файл HOSTS на правильность указателя localhost (обязан ссылаться на адрес 127.0.0.1).
Потом придётся заново установить сеть будто вы только что установили ОС.

Как пользоваться:

1. Запустить.
2. Нажать Reg-Backup для сохранения настроек реестра. (не обязательно)
3. Нажать Fix
4. Перезагрузиться.
5. Восстановить сетевые настройки.

SolarSpark, Спасибо за ответ!
Скачал и запустил WinsockFix, перезагрузил комп, переустановил антивирус, опять перезагрузился, пару минут упорно не хотели открываться страницы, потом через некоторое время открылись! Сейчас вроде всё нормально, надеюсь больше таких пакостей не будет...!

На последних логах не видно заражения? И что делать с System32, она по прежнему скрытая!

Darkan, Пуск -> Выполнить -> наберите “cmd” и нажмите на клавишу Enter

ввести

проверить атрибут папки

по логом вам ответит Farger, обождите немного, пожалуйста

"Не найден файл: system32"

Хорошо, понял!

Добавьте в реестр:
Скопируйте этот текст в болкнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление.
Чтобы изменения вступили в силу без перезагрузки:
Правой кнопкой по свободной поверхности Рабочего стола, выбрать из контекстного меню Обновить или просто нажать F5

выполните:
1. Назначьте себя владельцем папки system32 как стать владельцем файла или папки
2. пуск - выполнить - cmd
скопировать и вставить команду:
нажать enter

Katharsis, Спасибо! Помогло!!

@Darkan,

Файл c:\windows\system32\SpoonUninstall.exe вам знаком? Если нет, проверьте его на virustotal.

Можете удалить ComboFix;

1. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


2. Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Проверил файл rundll32.exe на всякий...
Отчет

Здравствуйте,

ComboFix удалили? Что с проблемами?

Запакуйте файл rundll32.exe и отошлите на мыло: cash2000(at)rambler(dot)ru, где (at) = @ а (dot) = .

Да, удалил!

Письмо отправил!

Похоже на ложное срабатывание. Что еще беспокоит?

Вроде бы ничего уже и не осталось, чтобы беспокоить)

Спасибо большое за помощь!

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

или так

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

и придерживайтесь рекомендаций
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

Скрипт выполнил!
Просто интересно, для чего он предназначен, что он делает?

P.S. тему отмечаю решенной

Darkan, скрипт создает новую контрольную точку восстановления и очищает предыдущие, зараженные

И всё-таки мой камп издевается надо мной! Временами всё никак не хочет грузить страницы, даже после использования WinsockFix! Ну хоть об стену головой! =(
_____________________________
Проблему решил! Оказывается, после лечения количество полуоткрытых соединений в системе установилось по умолчанию (значение 10) в то время, как в торрент-клиенте значение разрешенных соединений было 80! Поэтому при включенном торренте страницы в браузере отказывались грузиться! Решил проблему, увеличив ограничение до 100! Теперь всё в порядке! Всем спасибо!

тему можно считать закрытой

Одна проблема - одна тема. По вопросу торрент-клиента, вы можете задать в разделе - Программное обеспечение Windows. Во избежание дальнейшего флуда, тема закрыта. Спасибо.