После входа в систему и сидения в интернете примерно полчаса-час, загрузка ЦП мгновенно становится примерно 60-97%.
После входа в систему и сидения в интернете примерно полчаса-час, загрузка ЦП мгновенно становится примерно 60-97%.
Скачайте ещё раз AVZ и обновите базы. Повторите логи.
Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Прежде чем делать новые логи, выполните такой скрипт:
(последует перезагрузка).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\TEMP\*.*'); DeleteFile('D:\WINDOWS\system32\*.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
сделано.
Не похожеВнимание !!! База поcледний раз обновлялась 30.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Выполните скрипт в AVZ
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи. Очистите кэш IE.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\TEMP\xra11.tmp',''); QuarantineFile('d:\windows\system32\ati2evxx.exe',''); DeleteFile('d:\windows\system32\ati2evxx.exe'); DeleteFile('D:\WINDOWS\TEMP\xra11.tmp'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
этот скрипт полнее:
Выполните скрипт в AVZ
Прикрепите пожалуйста файл boot_clr.log из папки авз к вашему следующему сообщению.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\TEMP\xra11.tmp',''); QuarantineFile('D:\WINDOWS\system32\13.tmp',''); QuarantineFile('D:\WINDOWS\system32\58.tmp',''); QuarantineFile('D:\WINDOWS\system32\8.tmp',''); QuarantineFile('D:\WINDOWS\system32\A.tmp',''); DeleteFile('D:\WINDOWS\TEMP\xra11.tmp'); DeleteFile('D:\WINDOWS\system32\13.tmp'); DeleteFile('D:\WINDOWS\system32\58.tmp'); DeleteFile('D:\WINDOWS\system32\8.tmp'); DeleteFile('D:\WINDOWS\system32\A.tmp'); BC_ImportQuarantineList; BC_ImportDeletedList; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'virusinfo_10001_quarantine.zip'); RebootWindows(true); end.
Загрузите файл virusinfo_10001_quarantine.zip из каталога AVZ через форму:http://virusinfo.info/upload_virus.php?tid=10001
P.S. Сделайте новые логи по правилам после этого.
Последний раз редактировалось drongo; 25.05.2007 в 14:25.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
вроде все. Лога как сказал drongo в папках авз(авз и авз/лог) не оказалось...
Результат загрузки
Файл сохранён как 070525_150651_virus_4656c34b696d7.zip
Размер файла 498399
MD5 21ebc491b15c210dec2cfd4fd93e8ee0
Файл закачан, спасибо!
это карантин.
Выполните скрипт в AVZ
Почему Вы не хотите обновить базы AVZ?Код:begin BC_DeleteFile('D:\WINDOWS\system32\15.tmp'); BC_Activate; RebootWindows(true); end.
потому что пишет Обновление Базы не требуется, ё-моё
Проблема решена?
если появится опять - апну топик... еще не просидел час
появилось
Загрузка процессора не показатель. Может антивирус что-то проверяет...
По ответу из ЛК один из файлов карантина - файловый вирус Virus.Win32.Parite.b (см.выше)Hello,
avz00001.dta - Email-Worm.Win32.Locksky.bf,
avz00002.dta - Email-Worm.Win32.Locksky.bf,
avz00003.dta - Email-Worm.Win32.Locksky.bf,
avz00004.dta - Email-Worm.Win32.Locksky.bf,
avz00005.dta - Email-Worm.Win32.Locksky.bf,
avz00006.dta - Virus.Win32.Parite.b,
avz00007.dta - Email-Worm.Win32.Zhelatin.du
These files are already detected. Please update your antivirus bases.
avz00008.dta
No malicious code was found in this file.
Please quote all when answering.
--
Best regards, Roman Gavrilchenko
Virus analyst, Kaspersky Lab.
e-mail: [email protected]
http://www.kaspersky.com/
http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.
> Attachment: 070525_150651_virus_4656c34b696d7.zip
> VirusInfo Из темы http://virusinfo.info/showthread.php?t=10001
> 070525_150651_virus_4656c34b696d7.zip
> 8
_______________________________________________
Suspected mailing list
[email protected]
http://mail.virusinfo.info/mailman/l...virusinfo.info
Это описание его коллеги с буковкой а, написано, что действует точно также.
Основное из описания - заражает исполняемые файлы, причем и по сетке.The virus consists of a dropper, which is witten in assembler, and the virus part itself, written in Borland C++.
When an infected file is launched, the control flow is passed to the virus dropper, which writes the virus to a temporary file and executes its infection procedure.
The virus searches for Win32 EXE PE files with .scr and .exe extensions on all logical drives of computer, and also in shared resources of local network, and infects them.
The virus doesn't manifest itselfs presence in any way.
The structure of infected file looks like this:
Host file
Virus
dropper - drops "main" to TEMP dir and executes it.
main - searches for files and infects them, e.t.c.
Методика проверки - Грузится с CD, проверять Cure-It от Dr.Web,
либо проверять винчестер на другой машине.
З.Ы. Извините, если много скопировал.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
@ Orachin Обрати внимание на тему.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- d:\\windows\\system32\\a.tmp - Email-Worm.Win32.Locksky.bf (DrWEB: Trojan.Proxy.1737)
- d:\\windows\\system32\\kernels32.bak - Email-Worm.Win32.Zhelatin.du (DrWEB: Trojan.Packed.124)
- d:\\windows\\system32\\13.tmp - Email-Worm.Win32.Locksky.bf (DrWEB: Trojan.Proxy.1737)
- d:\\windows\\system32\\15.tmp - Email-Worm.Win32.Locksky.bf (DrWEB: Trojan.Proxy.1737)
- d:\\windows\\system32\\58.tmp - Email-Worm.Win32.Locksky.bf (DrWEB: Trojan.Proxy.1737)
- d:\\windows\\system32\\8.tmp - Email-Worm.Win32.Locksky.bf (DrWEB: Trojan.Proxy.1737)
- d:\\windows\\temp\\xra11.tmp - Virus.Win32.Parite.b (DrWEB: Win32.Parite.2)
Уважаемый(ая) Orachin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.