Junior Member
Вес репутации
61
Система работает не стабильно
Добрый день.
Стоит нод32, но он не выявляет ничего вредоносного в системе, хотя проблемы есть.
1) при подключении интернета трафик на отправку растёт раз в 6 быстрее, чем на принятие, хотя не запущено ни одно приложение. Из-за этого, как я понимаю, скорость на браузер очень низкая, да и ася с заметным тугодумием подключается.
2) система периодически перезагружается или подвисает
логи прилагаются
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Q0shad.exe','');
DeleteService('AccessSharing');
QuarantineFile('C:\WINDOWS\system\wcntfysvc.exe','');
QuarantineFile('c:\windows\system32\csrs.exe','');
DeleteFile('c:\windows\system32\lannet.exe');
DeleteFile('c:\windows\system32\csrs.exe');
DeleteFile('C:\WINDOWS\system\wcntfysvc.exe');
DeleteFile('Q0shad.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Пофиксите
Код:
O4 - HKLM\..\Run: [Internet] C:\WINDOWS\System32\lannet.exe
O4 - HKLM\..\Run: [Microsofts Windows Updata] csrs.exe
O4 - HKLM\..\Run: [HOT FIX] Q0shad.exe
O4 - HKLM\..\RunServices: [Internet] C:\WINDOWS\System32\lannet.exe
O4 - HKLM\..\RunServices: [Microsofts Windows Updata] csrs.exe
O4 - HKLM\..\RunServices: [HOT FIX] Q0shad.exe
O4 - HKCU\..\Run: [Microsofts Windows Updata] csrs.exe
O4 - HKCU\..\Run: [HOT FIX] Q0shad.exe
O4 - HKUS\S-1-5-21-796845957-1343024091-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Q0shad.exe (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Q0shad.exe (User 'Default user')
O4 - S-1-5-21-796845957-1343024091-725345543-1003 Startup: PowerReg SchedulerV2.exe (User '?')
O4 - Startup: PowerReg SchedulerV2.exe
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('AccessSharing');
TerminateProcessByName('c:\windows\system32\lannet.exe');
TerminateProcessByName('c:\windows\system32\csrs.exe');
RegKeyDel('HOT FIX ',' ');
QuarantineFile('Q0shad.exe','');
QuarantineFile('C:\WINDOWS\system\wcntfysvc.exe','');
QuarantineFile('C:\WINDOWS\System32\lannet.exe','');
QuarantineFile('C:\WINDOWS\System32\csrs.exe','');
QuarantineFile('c:\windows\system32\lannet.exe','');
DeleteFile('c:\windows\system32\lannet.exe');
DeleteFile('C:\WINDOWS\System32\csrs.exe');
DeleteFile('C:\WINDOWS\System32\lannet.exe');
DeleteFile('C:\WINDOWS\system\wcntfysvc.exe');
DeleteFile('Q0shad.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки закачайте карантин по правилам и повторите логи.
Систему нужно будет обновить. Потребуется новая активация.
Junior Member
Вес репутации
61
на данный момент трафик не растёт как раньше и перегрузок пока не было
Вложения
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('AccessSharing');
DeleteFile('C:\WINDOWS\system\wcntfysvc.exe');
DeleteFile('Q0shad.exe');
DeleteFile('csrs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Microsofts Windows Updata',' ');
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, HOT FIX ',' ');
DeleteService('AccessSharing');
DeleteFile('C:\WINDOWS\system\wcntfysvc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки повторите логи от п.10 правил.
Последний раз редактировалось Rene-gad; 23.06.2008 в 15:54 .
Junior Member
Вес репутации
61
Вложения
в логах ничего зловредного .... осталось только сп3 установить ...
Junior Member
Вес репутации
61
спасибо огромное
второй раз уже выручаете!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 2 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\csrs.exe - Backdoor.Win32.Rbot.qxc (DrWEB: Trojan.Packed.650) c:\\windows\\system32\\lannet.exe - Net-Worm.Win32.Kolabc.bai (DrWEB: Trojan.Packed.650)