Тупит DC++ подозрение на вирус - Форум технической поддержки ESET NOD32

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 14.08.2010 16:40:19

При запуске DC++ начинает жутко тормозить ПК..
Еще не работают скрытые файлы и папки, в свойствах папки все включено.
Помогите со скриптом..
Вот лог:

Прикрепленные файлы

uvs.rar (132.43 КБ)

Изменено: Виктор - 14.08.2010 16:49:21

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 14.08.2010 16:52:56

Еще логи:

Прикрепленные файлы

HJ.log (8.66 КБ)
ROUTE.TXT (2.06 КБ)
SI.zip (114.89 КБ)

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 14.08.2010 16:54:10

В HJ.log были профиксины строчки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15187&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kornet.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O3 - Toolbar: PandoraTV Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O9 - Extra button: (no name) - DctMapping - (nofile)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Изменено: Виктор - 14.08.2010 16:55:23

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.08.2010 17:14:57

система заражена Conficker/Kido.
C:\WINDOWS\SYSTEM32\XBOZAJT.DLL
sha-1: F1B6ACF3A1B0FF40308CFECB04DAF25E72CDBD0B
http://www.virustotal.com/file-scan/report.html?id=1023aeeee1dd4ca115fcb8e4882f9d5a1815dcecd2d7f35042110f96957127a0-1281098947

Цитата
;uVS v3.20 script [http://dsrt.jino-net.ru \| http://dsrt.dyndns.org] zoo %Sys32%\XBOZAJT.DLL addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B42E7C7995C32E9AD328703826943D554B773CE14381941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 confi chklst delvir deltmp regt 13 regt 3 regt 1 regt 2 restart

скрипт такой. см. ниже.
(можно блок скопировать в буфер обмена,
и использовать в uvs опцию - ыфполнить скрипт из буфера обмена.)
после перезагрузки повторить логи hj, uvs, esi.

Прикрепленные файлы

script.txt (604 Б)

Изменено: santy - 14.08.2010 17:16:40

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 15.08.2010 02:05:11

Спасибо!!!
Этот вирус любит P2P поэтому все висло.

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 15.08.2010 02:14:21

Не могли бы Вы подсказать как прописали эти функции в скрипте?

zoo %Sys32%\XBOZAJT.DLL
addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B42E7C7995C32E9AD328703826943D554B773CE14381941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 confi
chklst
delvir
deltmp
regt 13
regt 3
regt 1
regt 2
restart

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.08.2010 10:10:12

1. читать внимательно документацию к программе (файл _Скрипты.txt)

Цитата
(!) Скрипты формируются _автоматически_ при проведении обычных операций на образе системы, (!) либо в любом другом режиме по указанию пользователя. (удерживать Shift при отдаче команды) (!) Скрипты могут быть выполнены только при проверке активной и неактивной системы.

Цитата

(!) Скрипты формируются _автоматически_ при проведении обычных операций на образе системы,
(!) либо в любом другом режиме по указанию пользователя. (удерживать Shift при отдаче команды)
(!) Скрипты могут быть выполнены только при проверке активной и неактивной системы.

2. самостоятельно исследовать функционал программы. (есть же готовые образы автозапуска).
3. кратко описано здесь.
http://forum.esetnod32.ru/messages/forum8/topic252/message4347/#message4347

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 15.08.2010 14:29:22

Опять тупит. DC запускается но в приложениях его нет.

Прикрепленные файлы

si_.zip (186.26 КБ)
hj.txt (6.28 КБ)
uvs.zip (175.46 КБ)

Изменено: Виктор - 15.08.2010 14:32:25

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.08.2010 20:18:13

логи по этому поводу молчат.
попробуйте выполнить полное сканирование системы с помощью malwarebytes + сюда логи.

[ Как создать образ автозапуска? ]