[SolarSpark]

вирусы в логах, обождите скрипт

Проверьте сами на http://www.virustotal.com файл

Код:

C:\WINDOWS\system32\grwinsthlp.exe

ссылку на результат запостите здесь

C:\Documents and Settings\evs\Application Data\e80a5b47
C:\Documents and Settings\evs\Application Data\E80A5ED1

это Dr.Web CureIt?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\WINDOWS\apppatch\yhubbqs.dat','');
 QuarantineFile('C:\WINDOWS\system32\dprsrv32.exe','');
 QuarantineFile('C:\WINDOWS\system32\grwinsthlp.exe','');
 DeleteFile('C:\WINDOWS\apppatch\yhubbqs.dat');
 DeleteFile('C:\WINDOWS\system32\dprsrv32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Test System Key');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:

Код:

	F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\apppatch\yhubbqs.dat,

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
___________________________

[Happymilkman]

Цитата:

Проверьте сами на http://www.virustotal.com файл Код: C:\WINDOWS\system32\grwinsthlp.exe ссылку на результат запостите здесь

http://www.virustotal.com/file-scan/...702-1307612156

Цитата:

C:\Documents and Settings\evs\Application Data\e80a5b47 C:\Documents and Settings\evs\Application Data\E80A5ED1 это Dr.Web CureIt?

Папка e80a5fb9 пустая, а в папке E80A5ED1 находиться текстовый файл Pass

Цитата:

Отключите: Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Сделано

Цитата:

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Сделано

Цитата:

Пофиксить в HijackThis следующие строчки: Код: F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\apppatch\yhubbqs.dat,

К сожалению, не могу найти эту строчку.

Сейчас сделаю повторные логи и в скором времени выложу на сайт. По поводу производительности пока ничего сказать не могу, вроде стало легче, хотя ЦП всеравно немного напрягает.

[Happymilkman]

Добрый вечер. Извиняюсь за столь долгую задержку.

[SolarSpark]

Добрый день, ответ по карантину:

dprsrv32.exe - Trojan.Win32.Buzus.honj

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DeleteFileMask('C:\Documents and Settings\evs\Application Data\e80a5b47', '*.*', true);
DeleteDirectory('C:\Documents and Settings\evs\Application Data\e80a5b47');
DeleteFileMask('C:\Documents and Settings\evs\Application Data\e80a5fb9', '*.*', true);
DeleteDirectory('C:\Documents and Settings\evs\Application Data\e80a5fb9');
DeleteFileMask('C:\Documents and Settings\evs\Application Data\E80A5ED1', '*.*', true);
DeleteDirectory('C:\Documents and Settings\evs\Application Data\E80A5ED1');
DeleteFileMask('C:\Documents and Settings\evs\Application Data\17e4a2eba', '*.*', true);
DeleteDirectory('C:\Documents and Settings\evs\Application Data\17e4a2eba');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Повторите сканирование в МВАМ и удалите

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Зараженные папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.

Зараженные файлы:
c:\documents and settings\evs\application data\archsoft\winzipr.exe (Trojan.FakeSMS) -> No action taken.
c:\documents and settings\evs\рабочий стол\школа\macmillan_grammar_vocabulary_tb_www.frenglish.ru.exe (Trojan.KillAV) -> No action taken.
d:\system volume information\_restore{f5a0faa3-f6ac-44bc-96db-2b91cf21f508}\RP278\A0077389.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\system volume information\_restore{f5a0faa3-f6ac-44bc-96db-2b91cf21f508}\RP278\A0077390.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\system volume information\_restore{f5a0faa3-f6ac-44bc-96db-2b91cf21f508}\RP278\A0077391.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\system volume information\_restore{f5a0faa3-f6ac-44bc-96db-2b91cf21f508}\RP278\A0077392.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\system volume information\_restore{f5a0faa3-f6ac-44bc-96db-2b91cf21f508}\RP278\A0077393.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.

Смените все важные пароли!

повторите логи RSIT и отпишитесь о проблеме

[Happymilkman]

Ну результат на лицо: загрузка ЦП упала на 50% , процессы перестали есть много памяти. Думаю, что проблему можно считать решенной. Спасибо за помощь!

[SolarSpark]

Код:

C:\Documents and Settings\evs\Application Data\E80A5ED1
C:\Documents and Settings\evs\Application Data\e80a5b47

папки удалите ручками

В обязательном порядке
Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли