Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   При нажатие пкм виснет комп..drwtsn32 (http://forum.oszone.net/showthread.php?t=205053)

anivan 18-04-2011 10:34 1660768
При нажатие пкм виснет комп..drwtsn32
 
При нажатие по свободному участку раб. стола ПКМ повисает комп. ,при этом в диспетчере задач появляется процесс drwtsn32,при закрытие комп. отвисает

molodoipon 18-04-2011 10:44 1660773
а что в Drwtsn32.log написано?
И антивирус какой-нибудь стоит, проверялись?

anivan 18-04-2011 11:33 1660807
лог на 2.5 мб ,я не очень разбираюсь что там
проверял cureit,находил Win32.HLLP.Jeefo.36352 Win32.HLLP.Neshta
Вроде как избавился

Petya V4sechkin 18-04-2011 11:35 1660810
Цитата:
Цитата anivan
лог на 2.5 мб ,я не очень разбираюсь что там
Выложите в архиве.

anivan 18-04-2011 11:43 1660817
log

Petya V4sechkin 18-04-2011 11:56 1660827
Цитата:
Цитата anivan
проверял cureit,находил Win32.HLLP.Jeefo.36352 Win32.HLLP.Neshta
Вроде как избавился
Не совсем, судя по наличию C:\WINDOWS.1\svchost.exe
Пожалуйста, выполните эти инструкции (тема перенесена в "Лечение систем от вредоносных программ").

anivan 18-04-2011 13:09 1660890
сделал

SolarSpark 18-04-2011 13:54 1660914
anivan, привет
Цитата:
c:\program files\maxlim\Будильник\alarm clock.exe
это сами устанавливали?

anivan 18-04-2011 14:03 1660920
привет,да,сам

SolarSpark 18-04-2011 14:33 1660949
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.1\svchost.exe');
StopService('powermanager');
QuarantineFile('c:\windows.1\svchost.exe','');
DeleteFile('c:\windows.1\svchost.exe');
DeleteService('powermanager');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Сделайте повторные логи AVZ с обновленными базами!

Цитата:
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

______________________________________________________

anivan 19-04-2011 15:09 1661746
касперский не отвечает,а на счет avz это самые последние обновления

SolarSpark 19-04-2011 15:36 1661759
а вы скрипт выполняли?

anivan 19-04-2011 16:03 1661785
да.

SolarSpark 19-04-2011 16:23 1661810
что-то все те же на манеже((

удалите в МВАМ

Цитата:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Need for Speed Most Wanted_is1 (Trojan.Agent) -> No action taken.

Заражённые папки:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\WINDOWS.1\svchost.exe (Trojan.Agent) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
Обновите Internet Explorer до IE8

лог МВАМ повторяем

Проверьте сами на http://www.virustotal.com файл

Код:
c:\program files\Java\jre6\bin\javaw.exe
c:\WINDOWS.0\system32\ctfmon.exe
ссылку на результат запостите здесь

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows.1\svchost.exe','');
DeleteFile('c:\windows.1\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS.1\svchost.exe');
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

если наблюдаются проблемы при работе с сетью и Интернет, то скачайте и запустите WinsockXPFix. А дальше следуйте рекомендациям по иструкции

Сделайте повторные логи AVZ

anivan 19-04-2011 17:28 1661846
Javaw.exe
Ctfmon.exe

Остальное позже

anivan 23-04-2011 14:36 1664367
не знаю,как,но svchost как то восстанавливается после всех скриптов и удалений
касперский до сих пор молчит

SolarSpark 29-04-2011 17:30 1667621
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

anivan 01-05-2011 02:22 1668314
...

SolarSpark 01-05-2011 08:45 1668344
c:\windows.1\regedit.exe - проверьте на http://www.virustotal.com
ссылку на результат сюда

вижу программульку, относящиюся к группе опасных PSEXESVC.EXE. Важно понять сами ею пользуетесь или установлена без вашего участия.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows.1\system32\drivers\smtvumuw.sys
c:\windows.1\system32\drivers\uawq.sys
Driver::
inue
yovq
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

anivan 01-05-2011 09:45 1668356
virustotal
PSEXESVC.EXE я не знаю к чему она относиться.

SolarSpark 01-05-2011 10:11 1668357
Цитата:
Цитата anivan
PSEXESVC.EXE »
не пользуетесь - удалите

что с проблемой?

anivan 02-05-2011 02:52 1668747
все также виснет

SolarSpark 03-05-2011 07:46 1669321
Проверьте на http://www.virustotal.com
Код:
c:\windows.1\oemlogo.exe
c:\windows.1\system32\drivers\MxEFUF32.sys
ссылки сюда

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

что показывает диспечер задач, когда подвисает комп?

anivan 03-05-2011 09:40 1669357
virustotal

virustotal
drwtsn32,2 процесса,при закрытие отвисает комп
Вирус scvhost.exe вернулся после перезагрузки,в реестре прописался,и странно,почему он в начале загрузки поражает 2 процесса unlocker и будильник,после удаление в реестре и перезагрузки нормально все,как то через раз

SolarSpark 03-05-2011 11:16 1669410
Вот же паразит живучий(

Код:
c:\windows.1\oemlogo.exe
- избавляемся

Цитата:
Цитата anivan
поражает 2 процесса unlocker и будильник »
эти два процесса на вирустотал.
проверяемся CureIt со свежими базами в безопасном режиме!

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли

и после этого контрольный комплект логов AVZ

anivan 03-05-2011 11:58 1669445
c:\windows.1\oemlogo.exe а это не системный файл?

SolarSpark 03-05-2011 18:40 1669675
оставьте файл, возможно, ругается на активатор, архивируйте и отошлите при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
и проверяйтесь пока CureIt

anivan 26-06-2011 13:20 1701744
Вроде избавился от вируса

zirreX 26-06-2011 14:08 1701767
Отлючите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS.1\System32\drivers\qepobn.sys','');
 QuarantineFile('C:\WINDOWS.1\System32\drivers\kwjpc.sys','');
 QuarantineFile('C:\WINDOWS.1\System32\drivers\jckr.sys','');
 DeleteFile('C:\WINDOWS.1\System32\drivers\jckr.sys');
 DeleteFile('C:\WINDOWS.1\System32\drivers\kwjpc.sys');
 DeleteFile('C:\WINDOWS.1\System32\drivers\qepobn.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Opq3MhPR.sys');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Opq3MhPR.sys');
 BC_DeleteSvc('btbv');
 BC_DeleteSvc('subdj');
 BC_DeleteSvc('ydlc');
BC_Activate;
 ExecuteRepair(14);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Подготовьте новые логи AVZ/ RSIT/ MBAM.

anivan 27-06-2011 10:20 1702191
Rsit

anivan 28-06-2011 09:53 1702780
mbam & AVZ

SolarSpark 29-06-2011 11:38 1703522
anivan, Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Admin\DoctorWeb\Quarantine\svchost.com');
 DeleteFile('C:\Documents and Settings\Admin\DoctorWeb\Quarantine\svchost0.com');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(14);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

повторите сканирование МВАМ и удалите только эти строчки (если таковые будут)
Зараженные файлы:
Код:
c:\documents and settings\Admin\doctorweb\quarantine\jrerunonce.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\jxpiinstall(1).exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\mcedit-uninstall.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\need for speed most wanted_code.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\svchost.com (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\svchost0.com (Trojan.Agent) -> No action taken.
кейгены и кряки на ваше усмотрение-могут содержать вредоносный код

меняем важные пароли

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли

anivan 30-06-2011 13:46 1704278
Выполнил,проблема осталась

SolarSpark 30-06-2011 16:38 1704455
записываем на болванку LiveCD или подготавливаем LiveUSB. Лечимся, загрузившись с них, после этого повторяем логи и отписываемся о самочувствии

anivan 16-07-2011 16:20 1714611
может не в вирусе дело,а в чем то другом,сейчас заметил что когда нажимаю ФАЙЛ в папке,перегружается explorer

anivan 18-08-2011 17:27 1734677
проверил,чисто,все та же проблема

SolarSpark 19-08-2011 12:00 1735108
активного заражения не вижу

пробуем
1.проверка дисков. пуск - выполонить - ввести
chkdsk /f /r
нажать enter. проверка системного раздела будет проведена после следующей загрузки.

2. проверка целостности системных файлов. Вставить диск с дистрибутивом.
пуск - выполнить - ввести
sfc.exe /scannow

anivan 20-08-2011 05:34 1735632
sfc.exe /scannow ,пробовал,отказывается проверять
chkdsk /f /r делал на днях
вот посоветовали
Код:
begin  DelCLSID('{45AC2688-0253-4ED8-97DE-B5370FA7D48A}');  RebootWindows(False);  end.
проблема осталась

SolarSpark 20-08-2011 11:01 1735682
Цитата:
Цитата anivan
отказывается проверять »
что говорит?

http://forum.oszone.net/thread-40792.html в помощь

anivan 20-08-2011 15:34 1735830
вставьте диск,хотя диск вставлен,может из-за того что сборка
все сделал,проверяю
проверил,проблема на месте


Время: 19:45.

Время: 19:45.
© OSzone.net 2001-