-
Junior Member
- Вес репутации
- 51
Тормозит ноутбук.
Доброго времени суток.
Начал тормозить набочий ноут. Решил пробежаться по нему CureIT-ом, вылетел в синьку. В безопасном режиме то же самое. Т.к ноут общедоступный, первые подозрения падают не на сбойную память, а все ж на вирей.
Логи в аттаче.
Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\nifed.exe','');
QuarantineFile('D:\WINDOWS\system32\lyroum.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-3034709544-4555704980-768290403-6001\djwi2kcew.exe','');
QuarantineFile('D:\Documents and Settings\Odmin\fxmdk.exe','');
QuarantineFile('D:\Documents and Settings\LocalService\Application Data\Microsoft\hettoojoud.exe','');
QuarantineFile('D:\WINDOWS\system32\coummoo.exe','');
QuarantineFile('D:\WINDOWS\system32\goubyh.exe','');
QuarantineFile('D:\WINDOWS\system32\Drivers\ytwhwlbkw.sys','');
QuarantineFile('D:\WINDOWS\system32\luquij.exe','');
DeleteFile('D:\WINDOWS\system32\luquij.exe');
DeleteFile('D:\WINDOWS\system32\Drivers\ytwhwlbkw.sys');
DeleteFile('D:\WINDOWS\system32\goubyh.exe');
DeleteFile('D:\WINDOWS\system32\coummoo.exe');
DeleteFile('D:\Documents and Settings\LocalService\Application Data\Microsoft\hettoojoud.exe');
DeleteFile('D:\Documents and Settings\Odmin\fxmdk.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-3034709544-4555704980-768290403-6001\djwi2kcew.exe');
DeleteFile('D:\WINDOWS\system32\lyroum.exe');
DeleteFile('D:\WINDOWS\system32\nifed.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=100284).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сделайте лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Карантин пуст, по-этому прилагаю только повторные логи + gmer
-
Вам понадобится любой загрузочный CD, позволяющий выполнять операции с файлами на жестком диске. С его помощью необходимо переместить или переименовать файл
C:\WINDOWS\system32\Drivers\ytwhwlbkw.sys
После этого запустите снова свою систему и выполните скрипт в AVZ:
Код:
begin
RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\ytwhwlbkw');
BC_DeleteSvc('ytwhwlbkw');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Переименованный или перемещенный файл запакуйте в zip-архив с паролем virus и пришлите по ссылке для карантина (см. вверху темы). Сделайте новый лог по п.2 раздела Диагностика.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Извиняюсь за задержку с ответом, ноут рабочий - пошел по рукам, только сейчас снова за него взялся.
Карантина и на этот раз не будет.. Антивирус на здоровой машине быстренько определил ytwhwlbkw.sys как Trojan.Spambot и грохнул вместе с архивом.. Но за этот день, пока ноут был недоступен, на него набралась кучка новых вирей.. Лог syscheck прилагаю
-
После сканирования CureIt'ом надо перезагружать компьютер, прежде чем делать логи AVZ!
Сделайте лог заново, чтобы не было сомнений.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Очень странно. Тормоза остались
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Удалите в МВАМ только указанные строки
Код:
d:\documents and settings\Odmin\local settings\Temp\utt17.tmp.exe (Trojan.Pakes) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сделал. Тормоза все равно остались.. Вроде зловредов на компе уже нет, теперь остается грешить на 1) драйвера 2) на саму ось.