Что ж я подхватил...

[DenODen]

Добрый день. Нуждаюсь в советах,очень.
Предыстория: ничего подозрительного не загружал давненько и в интернете на " минные поля " не хожу.
Сегодня почему-то не загрузился " Windows One Care " ( он-лайн пакет с антивирем). Решив переустановить - обнаружил что загрузка начинается - и через 5-7 сек вырубается. Далее ,Ad-Aware работает, но его " сторож - контрололер " не стартует , плюс перестал обновления делать баз.
При попытке запустить " HijackThis " от Trend Micro - не запускается - ну прям как будто кто-то не позволяет запуститься определенным прогам...
Решил запустить " Safe Mode " - так снова - начало запускаться - потом " хлоп" и надпись "...execute script vax347b.sys "
Поиски в сети показали что это частичка от Алкоголя 120%. Но я его давно не пользую... Рекомендации были разные - в общем снес Алкоголь...
Ничего не изменилось - но вентиляторы компа воют как бешенные - а активности никакой нигде не вижу, блин... Только кривая загрузки процессора скачет все время: 5%-35%-12%-57%-31%...
Ради интереса попробовал систему вернуть на несколько дней назад - пыхтело -пыхтело и выдало что это не представляется возможным...
Стоит WinXP-Pro. Все обновления своевременно ставятся...
Хоть на что-нить это похоже?
Вся работа встала...блин...

[Bratez]

AVZ тоже не запускается? Попробуйте переименовать avz.exe в 777.pif.

вентиляторы компа воют как бешенные

Смазать подшипники, почистить все от пыли, обеспечить нормальную циркуляцию воздуха.

[DenODen]

AVZ тоже не запускается? Попробуйте переименовать avz.exe в 777.pif.

Смазать подшипники, почистить все от пыли, обеспечить нормальную циркуляцию воздуха.

Blin...i klava perestala pycckiy perekluchat...
Pereimenovat ne polychaetsia - klikau na ikonky - i vse visnet...
Ventilatori vout potomy chto na maksimyme rabotaut -
Ydalos zapystit Hijak This.
Pitalsia zapystit antivir ESET - pishet " ...Program Files\Eset\nod32.exe is not a valid Win32 application." Pochemy?
Voobshe neponiatnoe - processor postoianno pokazivaen zagryzennost...:-(

[Гриша]

Скачать AVZ http://depositfiles.com/en/files/6501498 и сделать логи...

[DenODen]

Vot logi Hijak This
Interestno nabludat - kogda otkrivau folder c etoi progoi - tam 2 ikonki : "HijackThis" i vtoraia " HijackThis_exe_1 "
Nak pervaia ikonka crazy 3 paza meniat ciniy cbet - migaet. Tochno chto-to ee kontroliryet

[DenODen]

AVZ " nechto " daze ne daet razarxivirovat - rybit...

[Гриша]

AVZ качали по моей ссылке?

[Bratez]

Ventilatori vout potomy chto na maksimyme rabotaut -

Правильно. А почему они на максимуме работают? Потому что кулера процессора и видеокарты забиты пылью и/или они гоняют по кругу один и тот же теплый воздух (например системник в тесном отсеке стола, придвинут к стенке, завален сверху бумагами и т.п...)

Что касается вирусов, попробуйте сделать как написано тут:
http://virusinfo.info/showthread.php?t=15927
(способ 1).

[DenODen]

Правильно. А почему они на максимуме работают? Потому что кулера процессора и видеокарты забиты пылью и/или они гоняют по кругу один и тот же теплый воздух (например системник в тесном отсеке стола, придвинут к стенке, завален сверху бумагами и т.п...)

Что касается вирусов, попробуйте сделать как написано тут:
http://virusinfo.info/showthread.php?t=15927
(способ 1).

Не, у меня все чисто - аж сверкает . Просто в " подполье" какая-то зараза нагружает проц - поэтому и греется оный , что и вызывает кулеры на максимум крутить.

Добавлено через 4 минуты

AVZ качали по моей ссылке?

Закачал...пол-дня проверяет все... медленно аж жуть...
Как проверит - с результатками проверки что делать?
И еще - там пишется что старые базы, а как обновить?
И последнее - прочитал пост " Подцепил трояна (winfilse) ". Все как у меня ...Абсолютно! Тоже не запускается ничего кроме " эврики". А остальные при попытке запуска - также пишет что это не Win32 сопоставимое...
И почему-то изменилась иконка на програмке мониторинга Ad-Aware.
Это все новости - хороших мало...
Спасибо за помощь!

Добавлено через 42 минуты

Красной строкой написано в результатах проверки : Process Masking detected 1544 c:\winnt\system32\drivers\winfilse.exe
Причем папка дпайверов - невидимая.

[DenODen]

Скачать AVZ http://depositfiles.com/en/files/6501498 и сделать логи...

Добрый день.
Скачал evrika.pif - запустилось без проблем.
Больше суток проверялось - и на 69% исчезло окно программы. Но в процессах было видно что проверка продолжается " где-то". Потом и это исчезло. Сегодня воскресение - третий раз запустил проверку - 59% проверилось - окно программы исчезает. Продолжение процесса видно, но и оно в скором времени перестает. Что я не так запускаю? Вымотал меня этот" невидимка" плюс вся учеба встала - все ж в компе. Если возможно - подскажите что делаю не так. Привила перечитал не один раз - но чтобы отослать логи , нодо мне хотя бы знать где они есть. Если они есть вообще - так как ни разу из трех проверок не видел окна по окончании проверок.

[pig]

Это вы всё третий скрипт мучаете? Попробуйте второй. Или в безопасном режиме - я что-то не понял, получается в него войти или нет, но если получается, сделайте логи хотя бы так.

[DenODen]

Это вы всё третий скрипт мучаете? Попробуйте второй. Или в безопасном режиме - я что-то не понял, получается в него войти или нет, но если получается, сделайте логи хотя бы так.

Немного не понял - что имеется в виду под третьим скриптом?
Безопасный режим рубится через 2-3 секунды после запуска, и снова запускается обычный.

[Гриша]

Сделайте только 2 стандартный скрипт...

[DenODen]

Сделайте только 2 стандартный скрипт...

Я вчера снова сморозил горбатого - послал не то и не туда. Сегодня 2 скрипт прикрепляю к этому сообщению.
Приношу искренние извенения за кучу недоразумений созданных мною.
Спасибо.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;            
 QuarantineFile('C:\Program Files\Qwest\Quickcare\bin\sprtcmd.exe','');
end.

Пришлите карантин...

[DenODen]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;            
 QuarantineFile('C:\Program Files\Qwest\Quickcare\bin\sprtcmd.exe','');
end.

Пришлите карантин...

Отослал.

[Гриша]

Не похоже это на 2 стандартный скрипт Нужен лог virusinfo_syscheck

У вас Bagle, но по этому логу некоторые файлы не видны...

[DenODen]

Не похоже это на 2 стандартный скрипт Нужен лог virusinfo_syscheck

У вас Bagle, но по этому логу некоторые файлы не видны...

Счас запущу , и перешлю.

Добавлено через 6 минут

К слову, если можно - DrWeb on-line описал этого врага как "
winfilse.exe infected with Trojan.Packed.650 " , Касперский - " winfilse.exe - infected by Trojan-Downloader.Win32.Bagle.afy "
А AVZ нарисовал " MD5 hash: 9A462896C43FDA83EFC9DF5691573BE8 "

[DenODen]

Отсылаю лог.

[Гриша]

Выполните скрипт 2 раза!

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%System32%\drivers\srosa.sys','');
 QuarantineFile('%System32%\drivers\hldrrr.exe','');
 QuarantineFile('%System32%\wintems.exe','');
 QuarantineFile('%System32%\drivers\mdelk.exe','');
 QuarantineFile('%System32%\mdelk.exe','');
 QuarantineFile('c:\winnt\system32\drivers\winfilse.exe','');
 DeleteFile('c:\winnt\system32\drivers\winfilse.exe');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...