-
Junior Member
- Вес репутации
- 48
Система ведет себя крайне странно..
Здравствуйте.
Рассказываю предысторию.. ноут начал сильно тупить.. система установлена Виндовс ХР Хоум Едишон сп3 рашен.. антивирь НОД32 4.2, обновляется нормально и своевременно..
Как лечил.. Я повыключал всякие надстройки в ИЕ.. и еще поубивал несколько процессов, которые грузили проц и память.. ноут немного задышал.. но остались проблемы - главная из которых - Не работает авто-обновление.. Сервис БИТС вообще не стартует, файл не находится.. и вообще ощущаю присутствие зверьков в системе..
Еще пропадает окно "Выполнить" - я нажимаю Пуск - Выполнить.. оно мелькает на долю секунды и исчезает.. батч-файлы тоже не выполняются.. я хотел запустить регедит, не смог..
Чтобы обойтись малой кровью - я пытался накатить поверх системы СервисПак3 из дистрибутива, он доходит процентов до 20, после чего говорит "недостаточно полномочий там на что-то" примерно сразу после исследования системы.. запускается под админом..
ДрВеб в безопасном режиме прогнал, почти ничего не нашел.. файлов 5 может вытер..
Остается конечно последний аргумент - переустановить систему полностью с нуля, но это как-то совсем не хочется делать.. Спасайте меня гуру, плизззз
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 109.94.220.65 www.vkontakte.ru
O1 - Hosts: 109.94.220.65 www.vk.com
O1 - Hosts: 109.94.220.65 vkontakte.ru
O1 - Hosts: 109.94.220.65 vk.com
O1 - Hosts: 109.94.220.65 www.odnoklassniki.ru
O1 - Hosts: 109.94.220.65 odnoklassniki.ru
O2 - BHO: TBSB00196 - {1236D836-E9BA-4175-894F-2072A14D5A26} - C:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('userinit');
QuarantineFile('globalroot\systemroot\system32\usеrinit.exe','');
QuarantineFile('c:\program files\common files\program shared\isass.exe','');
TerminateProcessByName('c:\program files\common files\program shared\isass.exe');
DeleteFile('c:\program files\common files\program shared\isass.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Последний раз редактировалось Bratez; 09.05.2011 в 15:34.
Причина: чуть-чуть подправил :)
-
-
Junior Member
- Вес репутации
- 48
Пункт 1 выполнился.. после перезагрузки остались вот эти строки
F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe
O1 - Hosts: 109.94.220.65 www.vkontakte.ru
O1 - Hosts: 109.94.220.65 www.vk.com
O1 - Hosts: 109.94.220.65 vkontakte.ru
O1 - Hosts: 109.94.220.65 vk.com
O1 - Hosts: 109.94.220.65 www.odnoklassniki.ru
O1 - Hosts: 109.94.220.65 odnoklassniki.ru
Пункт 2 не выполняется.. АВЗ запускается, но после выбора в меню "Выполнить скрипт" окно опять же появляется на долю секунды и потом пропадает в модальное никуда.. АВЗ приходится срубать через "снять задачу"..
Переименовал авз в тест.ком как рекомендовано в ЧАВО.. эффекта не возымело..
-
Junior Member
- Вес репутации
- 48
Поздравляю всех с праздником!
Так что мне делать-то?? Скрипт в АВЗ прогнать не удается.. диалог ввода скрипта не открывается мне для ввода.. в какой-либо внешний файл его можно сохранить и дать команду АВЗ взять скрипт из него??
-
Попробуйте загрузиться в безопасном режиме с поддержкой командной строки.
В командной строке наберите
explorer.exe
Далее все как обычно. Должно получиться.
Если не получится, то -
Сообщение от
Martynov
в какой-либо внешний файл его можно сохранить и дать команду АВЗ взять скрипт из него??
Можно, в обычный текстовый файл.
Затем надо запустить AVZ из командной строки так:
avz.exe script=имя_файла_со_скриптом
Предварительно перейти в папку с AVZ.
Последний раз редактировалось Bratez; 09.05.2011 в 15:39.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Спасибо, получилось.. из внешнего файла удалось выполнить скрипт..
Карантин выложил.. логи сейчас прикреплю..
-
Junior Member
- Вес репутации
- 48
-
- выполните такой скрипт
Код:
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 48
Добрый день!
Спасибо большое.. вроде уже лучше.. выкладываю логи..
Последний раз редактировалось Bratez; 19.05.2011 в 02:25.
-
Junior Member
- Вес репутации
- 48
Однако проблемы сохраняются.. авто-обновление не работает.. система БИТС не стартует.. и попытка установки сервис-пака 3 из дистрибутива вылетает на том же этапе с той же ошибкой.. на этапе когда оно пишет - редактирование реестра "отказано в доступе".. Все выполняется под админом.. Как быть?
-
Junior Member
- Вес репутации
- 48
Добрый вечер!
Уважаемые гуру, вы меня совсем игнорируете.. возможно вирусов в системе не осталось.. но как быть дальше-то?? я так понимаю проблема еще не решена..
Спасибо заранее.
-
Выполните скрипт в AVZ:
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
end.
Больше ничего плохого не видно.
I am not young enough to know everything...
-
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\common files\\program shared\\isass.exe - Trojan.Win32.VBKrypt.cudh ( DrWEB: Trojan.Qhost.3439, BitDefender: Trojan.Generic.5969987, AVAST4: Win32:VB-YGQ [Trj] )
-