Вирусы, вызывающие перегрузку системы и сбои в работе [OК]

[tomkiv]

Такая же ситуация - возникла вчера. Внезапно запустился IE, хотя я тоже им не пользуюсь и начал открывать страницу с непонятными иероглифами. Не успела я еще ничего понять - страница загрузилась, а после этого в нижнем правом углу появилась панелька Face cook (или Cook Face) - как-то так и началась такая вот вещь с компом. Facecook удалила - теперь проблема с этими же (и некоторыми другими) процессами. Периодически система не дает работать Битторренту... Не дает установить ни НОД, ни Доктора Веба, не дает запускаться Касперскому 2010.

Изменено 24 сентября, 2009 пользователем ТроПа

[snifer67]

tomkiv создайте новую тему + выполните правила http://forum.kasperskyclub.ru/index.php?showtopic=1698

Изменено 22 сентября, 2009 пользователем snifer67

[tomkiv]

Здравствуйте!

 

У меня возникла следующая проблема: вчера внезапно открылось окно IE и стало открывать страницу с непонятными иероглифами, хотя я IE не пользуюсь. Пока я опомнилась, у меня на компе появилась странная программа Face Cooker (или Cook Face - как-то так звучит). Появилась панелька этой программы в нижнем правом углу. Вместе с этим появились новые процессы, которых раньше никогда не было - H001.exe, J001.exe и многие другие. Пыталась удалить антивирусом, но Десятый Касперский не запускается, Доктор Веб не устанавливается (как и НОД32). CureIT находит вирусы, но после перезагрузки все как и было.

 

Новые процессы сильно грузят систему, что приводит к зависанию. При запуске запускается J001. exe, J002.exe, A019.exe, H001. exe, G001.exe, cmd.exe (который и грузит систему на 80-100%), ping.exe, NetworkLicenceServer.exe, AxCmd.exe, s.exe, Safety.exe, reader_sl.exe и другие - это из тех, которых раньше вроде не было. При запуске FIREFOX запускается klwtblfs.exe, потом исчезает.

 

Другие симптомы - после некоторого времени работы виснет Битторрент.

 

Кроме того, не отключается Восстановление Системы. (Уже достаточно давно)

 

Буду очень признательна, если поможете в устранении проблемы!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 22 сентября, 2009 пользователем tomkiv

[thyrex]

Пофиксить в HiJack

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205449
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=%s
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe	C:\WINDOWS\conime.exe	 asds
F3 - REG:win.ini: load=c:\windows\system32\sysDll.exe
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: (no name) - {2F55A1E9-EE3D-4B19-8B5F-378DEB2F893C} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B8EAAA7-89FF-4C66-9EA9-63899DF0A0D0}: NameServer = 85.255.112.130,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.130,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B8EAAA7-89FF-4C66-9EA9-63899DF0A0D0}: NameServer = 85.255.112.130,85.255.112.184
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.130,85.255.112.184
O17 - HKLM\System\CS3\Services\Tcpip\..\{4B8EAAA7-89FF-4C66-9EA9-63899DF0A0D0}: NameServer = 85.255.112.130,85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.130,85.255.112.184

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\sysdll.dll','');
DeleteFile('c:\windows\system32\sysdll.dll');
QuarantineFile('C:\WINDOWS\system32\egqT.dll','');
QuarantineFile('c:\windows\system32\tymdtcd.dll','');
QuarantineFile('c:\windows\system32\rlmktxc.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\blbrunsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\5f31.exe','');
QuarantineFile('C:\WIN\DOWS\LAX.exe','');
QuarantineFile('c:\windows\system32\sysDll.exe','');
QuarantineFile('C:\WINDOWS\MICROSOFT\winsys.dll','');
QuarantineFile('C:\WINDOWS\TEMP\tempo-29177328.tmp','');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\WINDOWS\Fonts\EAC1E80C.DLL','');
QuarantineFile('C:\autorun.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\brywu.sys','');
SetServiceStart('gaouqje', 4);
DeleteService('gaouqje');
QuarantineFile('C:\WINDOWS\system32\dll.sys','');
SetServiceStart('dedede', 4);
DeleteService('dedede');
QuarantineFile('C:\WINDOWS\system32\windswe.exe','');
DeleteService('windswe');
QuarantineFile('C:\WINDOWS\system32\s.exe','');
DeleteService('OSEvent');
QuarantineFile('C:\WINDOWS\system32\ILWQBTO5AP\F001.exe','');
DeleteService('Nationallms');
QuarantineFile('C:\WINDOWS\Fonts\41EF2154.EXE','');
QuarantineFile('C:\WINDOWS\system32\i\G001.exe','');
QuarantineFile('C:\WINDOWS\system32\UP45WG057A\J002.exe','');
DeleteService('aw');
DeleteService('ad');
DeleteService('544753B4');
DeleteService('BackGround Switch');
QuarantineFile('c:\windows\system32\avwbunyocsu.dll','');
TerminateProcessByName('c:\windows\conime.exe');
QuarantineFile('c:\windows\conime.exe','');
DeleteFile('c:\windows\conime.exe');
DeleteFile('c:\windows\system32\avwbunyocsu.dll');
DeleteFile('C:\WINDOWS\system32\UP45WG057A\J002.exe');
DeleteFile('C:\WINDOWS\system32\i\G001.exe');
DeleteFile('C:\WINDOWS\Fonts\41EF2154.EXE');
DeleteFile('C:\WINDOWS\system32\ILWQBTO5AP\F001.exe');
DeleteFile('C:\WINDOWS\system32\s.exe');
DeleteFile('C:\WINDOWS\system32\windswe.exe');
DeleteFile('C:\WINDOWS\system32\dll.sys');
DeleteFile('C:\WINDOWS\system32\drivers\brywu.sys');
DeleteFile('C:\autorun.exe');
DeleteFile('C:\WINDOWS\Fonts\EAC1E80C.DLL');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\WINDOWS\TEMP\tempo-29177328.tmp');
DeleteFile('C:\WINDOWS\MICROSOFT\winsys.dll');
DeleteFile('c:\windows\system32\sysDll.exe');
DeleteFile('C:\WIN\DOWS\LAX.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LUXLAX2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\5f31.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\svchose','EventMessageFile');
DeleteFile('C:\WINDOWS\SYSTEM32\blbrunsrv.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BlbSrv\Parameters','ServiceDll');
DeleteFile('0.exe');
DeleteFile('C:\WINDOWS\system32\egqT.dll');
DeleteFile('C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

Изменено 22 сентября, 2009 пользователем thyrex

[tomkiv]

Спасибо за инструкцию - после применения этого скрипта кое-какие проблемы отпали, смогла установить НОД - он в свою очередь удалил многие вирусы (96шт.) Большинство странных процессов ушли, однако некоторые файлы вирусов ни антивирус, ни скрипт удалить не могут - тот же beep.sys и некоторые другие. Выкладываю новые логи, как получу ответ из лаборатории, выложу и его.

 

Спасибо за Вашу помощь, надеюсь Вы поможете устранить проблему полностью!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msdt.exe','');
DeleteFile('C:\WINDOWS\msdt.exe');
DelBHO('{296AB1C7-FB22-4D17-8834-064E2BA0A6F0}');
QuarantineFile('C:\WINDOWS\MICROSOFT\winsys.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\brywu.sys','');
SetServiceStart('gaouqje', 4);
DeleteService('gaouqje');
QuarantineFile('C:\WINDOWS\system32\0XNUA6QRNP\J002.exe','');
DeleteService('fsdfs');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
DeleteService('BackGround Switch');
QuarantineFile('C:\WINDOWS\Fonts\41EF2154.EXE','');
DeleteService('544753B4');
QuarantineFile('C:\WINDOWS\system32\Safety.exe','');
QuarantineFile('c:\windows\system32\rwmrtkc.dll','');
QuarantineFile('C:\WINDOWS\system32\egqT.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\klif.sys','');
DeleteService('TSP');
DeleteFile('C:\WINDOWS\system32\Drivers\klif.sys');
DeleteFile('C:\WINDOWS\system32\egqT.dll');
DeleteFile('c:\windows\system32\rwmrtkc.dll');
DeleteFile('C:\WINDOWS\system32\Safety.exe');
DeleteFile('C:\WINDOWS\Fonts\41EF2154.EXE');
DeleteFile('C:\WINDOWS\system32\regedit32.exe');
DeleteFile('C:\WINDOWS\system32\0XNUA6QRNP\J002.exe');
DeleteFile('C:\WINDOWS\system32\drivers\brywu.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SefatyReg');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\MICROSOFT\winsys.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Файл beep.sys нужно заменить на чистыq из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Сделайте новые логи

[tomkiv]

Спасибо огромное всем за помощь - решила действовать координально - переустановила систему с чистого листа. Еще раз благодарю!