Перейти к содержанию
Правила раздела

Вирусы, вызывающие перегрузку системы и сбои в работе [OК]

tomkiv

От tomkiv
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

tomkiv Новичок

tomkiv

Опубликовано
Опубликовано (изменено)

Такая же ситуация - возникла вчера. Внезапно запустился IE, хотя я тоже им не пользуюсь и начал открывать страницу с непонятными иероглифами. Не успела я еще ничего понять - страница загрузилась, а после этого в нижнем правом углу появилась панелька Face cook (или Cook Face) - как-то так и началась такая вот вещь с компом. Facecook удалила - теперь проблема с этими же (и некоторыми другими) процессами. Периодически система не дает работать Битторренту... Не дает установить ни НОД, ни Доктора Веба, не дает запускаться Касперскому 2010.

Изменено пользователем ТроПа
Ссылка на комментарий
Поделиться на другие сайты
tomkiv Новичок

tomkiv

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте!

 

У меня возникла следующая проблема: вчера внезапно открылось окно IE и стало открывать страницу с непонятными иероглифами, хотя я IE не пользуюсь. Пока я опомнилась, у меня на компе появилась странная программа Face Cooker (или Cook Face - как-то так звучит). Появилась панелька этой программы в нижнем правом углу. Вместе с этим появились новые процессы, которых раньше никогда не было - H001.exe, J001.exe и многие другие. Пыталась удалить антивирусом, но Десятый Касперский не запускается, Доктор Веб не устанавливается (как и НОД32). CureIT находит вирусы, но после перезагрузки все как и было.

 

Новые процессы сильно грузят систему, что приводит к зависанию. При запуске запускается J001. exe, J002.exe, A019.exe, H001. exe, G001.exe, cmd.exe (который и грузит систему на 80-100%), ping.exe, NetworkLicenceServer.exe, AxCmd.exe, s.exe, Safety.exe, reader_sl.exe и другие - это из тех, которых раньше вроде не было. При запуске FIREFOX запускается klwtblfs.exe, потом исчезает.

 

Другие симптомы - после некоторого времени работы виснет Битторрент.

 

Кроме того, не отключается Восстановление Системы. (Уже достаточно давно)

 

Буду очень признательна, если поможете в устранении проблемы!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем tomkiv
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)

Пофиксить в HiJack

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205449
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=%s
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe	C:\WINDOWS\conime.exe	 asds
F3 - REG:win.ini: load=c:\windows\system32\sysDll.exe
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: (no name) - {2F55A1E9-EE3D-4B19-8B5F-378DEB2F893C} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B8EAAA7-89FF-4C66-9EA9-63899DF0A0D0}: NameServer = 85.255.112.130,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.130,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B8EAAA7-89FF-4C66-9EA9-63899DF0A0D0}: NameServer = 85.255.112.130,85.255.112.184
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.130,85.255.112.184
O17 - HKLM\System\CS3\Services\Tcpip\..\{4B8EAAA7-89FF-4C66-9EA9-63899DF0A0D0}: NameServer = 85.255.112.130,85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.130,85.255.112.184

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\sysdll.dll','');
DeleteFile('c:\windows\system32\sysdll.dll');
QuarantineFile('C:\WINDOWS\system32\egqT.dll','');
QuarantineFile('c:\windows\system32\tymdtcd.dll','');
QuarantineFile('c:\windows\system32\rlmktxc.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\blbrunsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\5f31.exe','');
QuarantineFile('C:\WIN\DOWS\LAX.exe','');
QuarantineFile('c:\windows\system32\sysDll.exe','');
QuarantineFile('C:\WINDOWS\MICROSOFT\winsys.dll','');
QuarantineFile('C:\WINDOWS\TEMP\tempo-29177328.tmp','');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\WINDOWS\Fonts\EAC1E80C.DLL','');
QuarantineFile('C:\autorun.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\brywu.sys','');
SetServiceStart('gaouqje', 4);
DeleteService('gaouqje');
QuarantineFile('C:\WINDOWS\system32\dll.sys','');
SetServiceStart('dedede', 4);
DeleteService('dedede');
QuarantineFile('C:\WINDOWS\system32\windswe.exe','');
DeleteService('windswe');
QuarantineFile('C:\WINDOWS\system32\s.exe','');
DeleteService('OSEvent');
QuarantineFile('C:\WINDOWS\system32\ILWQBTO5AP\F001.exe','');
DeleteService('Nationallms');
QuarantineFile('C:\WINDOWS\Fonts\41EF2154.EXE','');
QuarantineFile('C:\WINDOWS\system32\i\G001.exe','');
QuarantineFile('C:\WINDOWS\system32\UP45WG057A\J002.exe','');
DeleteService('aw');
DeleteService('ad');
DeleteService('544753B4');
DeleteService('BackGround Switch');
QuarantineFile('c:\windows\system32\avwbunyocsu.dll','');
TerminateProcessByName('c:\windows\conime.exe');
QuarantineFile('c:\windows\conime.exe','');
DeleteFile('c:\windows\conime.exe');
DeleteFile('c:\windows\system32\avwbunyocsu.dll');
DeleteFile('C:\WINDOWS\system32\UP45WG057A\J002.exe');
DeleteFile('C:\WINDOWS\system32\i\G001.exe');
DeleteFile('C:\WINDOWS\Fonts\41EF2154.EXE');
DeleteFile('C:\WINDOWS\system32\ILWQBTO5AP\F001.exe');
DeleteFile('C:\WINDOWS\system32\s.exe');
DeleteFile('C:\WINDOWS\system32\windswe.exe');
DeleteFile('C:\WINDOWS\system32\dll.sys');
DeleteFile('C:\WINDOWS\system32\drivers\brywu.sys');
DeleteFile('C:\autorun.exe');
DeleteFile('C:\WINDOWS\Fonts\EAC1E80C.DLL');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\WINDOWS\TEMP\tempo-29177328.tmp');
DeleteFile('C:\WINDOWS\MICROSOFT\winsys.dll');
DeleteFile('c:\windows\system32\sysDll.exe');
DeleteFile('C:\WIN\DOWS\LAX.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LUXLAX2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\5f31.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\svchose','EventMessageFile');
DeleteFile('C:\WINDOWS\SYSTEM32\blbrunsrv.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BlbSrv\Parameters','ServiceDll');
DeleteFile('0.exe');
DeleteFile('C:\WINDOWS\system32\egqT.dll');
DeleteFile('C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
tomkiv Новичок

tomkiv

Опубликовано
  • Автор
Опубликовано

Спасибо за инструкцию - после применения этого скрипта кое-какие проблемы отпали, смогла установить НОД - он в свою очередь удалил многие вирусы (96шт.) Большинство странных процессов ушли, однако некоторые файлы вирусов ни антивирус, ни скрипт удалить не могут - тот же beep.sys и некоторые другие. Выкладываю новые логи, как получу ответ из лаборатории, выложу и его.

 

Спасибо за Вашу помощь, надеюсь Вы поможете устранить проблему полностью! :D

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msdt.exe','');
DeleteFile('C:\WINDOWS\msdt.exe');
DelBHO('{296AB1C7-FB22-4D17-8834-064E2BA0A6F0}');
QuarantineFile('C:\WINDOWS\MICROSOFT\winsys.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\brywu.sys','');
SetServiceStart('gaouqje', 4);
DeleteService('gaouqje');
QuarantineFile('C:\WINDOWS\system32\0XNUA6QRNP\J002.exe','');
DeleteService('fsdfs');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
DeleteService('BackGround Switch');
QuarantineFile('C:\WINDOWS\Fonts\41EF2154.EXE','');
DeleteService('544753B4');
QuarantineFile('C:\WINDOWS\system32\Safety.exe','');
QuarantineFile('c:\windows\system32\rwmrtkc.dll','');
QuarantineFile('C:\WINDOWS\system32\egqT.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\klif.sys','');
DeleteService('TSP');
DeleteFile('C:\WINDOWS\system32\Drivers\klif.sys');
DeleteFile('C:\WINDOWS\system32\egqT.dll');
DeleteFile('c:\windows\system32\rwmrtkc.dll');
DeleteFile('C:\WINDOWS\system32\Safety.exe');
DeleteFile('C:\WINDOWS\Fonts\41EF2154.EXE');
DeleteFile('C:\WINDOWS\system32\regedit32.exe');
DeleteFile('C:\WINDOWS\system32\0XNUA6QRNP\J002.exe');
DeleteFile('C:\WINDOWS\system32\drivers\brywu.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SefatyReg');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\MICROSOFT\winsys.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Файл beep.sys нужно заменить на чистыq из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • para87
      проверка системы
      От para87
      Я заметил что  включаешь комп играешь работаешь  ну и т.д и после там часа или 2 не помню точно не могу открыть Kaspersky Plus нажимаю на иконку где часы и не чего не происходит тоже самое и на ярлык тоже не хочет открываться.  Помогает перезагрузка пк сразу открывается работает нормально. Я удалил Каспера утилитой  kavremover и заново поставил обновил провел полную проверку не чего не нашёл.  Пока все хорошо.  Просканировал еще FRST64 вот лог. Посмотрите может я зря беспокоюсь и это все ерунда.
      CollectionLog-2025.02.21-16.59.zip Addition.txt FRST.txt
    • Little_Wound
      Сбой задачи и проблема с поиском устройств
      От Little_Wound
      Здравствуйте!
      1. Установил KSC 15. Задаю поиск устройств (на машинах нет агента или кес) по диапазону ip адресов. Находит как то выборочно (машины часть на винде, часть на астре). По какому принципу идёт поиск и что может мешать ему "увидеть" машину в сети?
      2. Сделал Инсталляционные пакеты Kaspersky Network Agent for Linux aarch64 deb (Русский)_15.1.0.20748 и Kaspersky Endpoint Security 12.2 для Linux (Русский)_12.2.0.2412, создал задачу Задача удаленной установки приложения, но она отрабатывает с ошибкой: Удаленная установка на устройстве завершена с ошибкой: Installation script error. Чем вызвана данная ошибка?
       

    • Elly
      Вопросы к администрации по работе форума
      От Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
    • KeshaKost
      Система мониторинга событий информационной безопасности
      От KeshaKost
      Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.
    • Elly
      Кроссворд о рейтинговой системе мотивации Клуба. Правила
      От Elly
      Друзья!
       
      Рейтинговой системе мотивации посвящён целый раздел на форуме. Мы предлагаем вам поучаствовать в викторине, основанной на кроссворде, чтобы лучше узнать особенности этой системы, её преимущества и основные положения. В ходе викторины участникам необходимо будет предварительно разгадать кроссворд и ответить на вопросы о том, какая буква в правильно разгаданном кроссворде должна находиться на соответствующем месте (обозначенном следующим образом: клетка закрашена красным, на ней в кружке красная цифра), а также составить из этих букв одно слово.

       
      Кроссворд о рейтинговой системе клуба (форумный в Word).docx
      Кроссворд.pdf
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1 000 баллов Одна ошибка — 800 баллов Две ошибки — 600 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 20 февраля 2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @Mrak(пользователей @Машуня и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
×
×
  • Создать...