Караул. Помогите. Зависает все. svchost.exe жрет всю память. И к тому же блокируется заход на Ваш сайт и другие противовирусные сайты. Нод и сканер ничего не находят. Хотя кто-то явно есть. Посмотрите пожалуйста логи.
Караул. Помогите. Зависает все. svchost.exe жрет всю память. И к тому же блокируется заход на Ваш сайт и другие противовирусные сайты. Нод и сканер ничего не находят. Хотя кто-то явно есть. Посмотрите пожалуйста логи.
Последний раз редактировалось vvvvvvvvvv1972; 10.09.2010 в 23:52.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ayufuvnc.dll',''); QuarantineFile('C:\WINDOWS\system32\linkdel.cmd',''); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\install_flash_player.exe',''); DeleteFile('C:\WINDOWS\system32\ayufuvnc.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Все сделала. Посмотрите пожалуйста.
Последний раз редактировалось vvvvvvvvvv1972; 10.09.2010 в 23:52.
карантин где ?
Сейчас исправлюсь. Не могу зайти в "Прислать карантин по правилам" попробую выложить здесь.
Последний раз редактировалось V_Bond; 11.01.2009 в 21:56. Причина: карантин в теме
Еще раз прочитайте правила...
Почему-то половина страниц Вашего сайта не открывается. Поэтому карантин прислала не по правилам - а как уж получилось. Вообще как-то чудом пишу сообщения - вчера не получалось даже авторизироваться - писал сервер не найден. И страница с правилами вообще не открывается - так что действую по памяти. Извините если что-то не так.
Добавлено через 3 минуты
При нажатии -"Прислать карантин..." - ответ "сервер не найден". По другому у меня не получается.
Добавлено через 1 час 7 минут
Взяла с чужой темы с аналогичными проблемами скрипт (Вы же давали его сегодня)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ifiijqv.dll');
DeleteFileMask('%tmp%','*.* ',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.теперь хоть Ваш сайт открывается нормально. Но все остальное по прежнему. Карантин выслала как Вы и просили. С нетерпением жду ответ.
Добавлено через 1 час 7 минут
И еще наблюдаю такую проблему. На флешке все время появляются файл autorun.inf и папка RECYCLER оба скрытые и системные. Их удаление никчему не приводит. Все время появляются опять. Форматирование флешки не помогает. Тут же появляется опять. Нормально ли это? Или это вирус. На сайтах пишут и ту и другую версии. Что с ними делать? Оставлять как есть или бороться с ними?.
Последний раз редактировалось vvvvvvvvvv1972; 12.01.2009 в 00:18. Причина: Добавлено
Бороть надо зверя, который у вас в системе живёт и флэшку заражает. Чужой скрипт вы выполняли... не скажу, что зря, но опасное это дело. Болезни что у человеков, что у компьютеров, - они как несчастливые семьи у Толстого, все особенные.
Что опасно - знаю. Но там 100 процентно похожая проблема. И теперь хоть могу зайти нормально на сайт и выполнять все требования по пересылке своих вирусов на проверку. Да и остальные страницы антивирусных сайтов начали открываться - можно искать помощь и лекарство. Кто знает как справиться - помогите. Это какой-то новый вирус, NOD смогла обновить - до этого этот вирус и не пускал видимо, так он поймал но не смог убить - CONFICKER.AE . Кто знает как лечиться - помогите. Заранее благодарна.
Сделайте лог syscure (п.1 Диагностики) с подключенной флэшкой.
I am not young enough to know everything...
Прочистила все тремя антивирусами Нодом , АВЗ, Сканером Др. Веб поудалялась разная гадость, вроде проблемы поуходили. Комп по крайней мере не виснет и не грузится процессор.
Беспокоит такая фраза - C:\WINDOWS\system32\mstask.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\mstask.dll>>> Поведенческий анализ - что бы это значило?????
Как относиться к этим проблемам - что за перехватчики??????
\FileSystem\ntfs[IRP_MJ_CREATE] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8236E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8236E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 81CF31F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 81CF31F8 -> перехватчик не определен
Что там попалось в карантин - есть ответ????
И подозреваю что вирус остался - скачала такую програмку(по советам) gmer.exe - она все время ссылается на svhost.exe и при сканировании даже вырубает комп. Т.е. проблема осталась. autorun.inf с этого компа исчез.
Выкладываю новые логи(компьютер №1)
И еще : Пока таскала флешкой антивирусы и обновления с другого компа на нем полностю появились те же проблемы почти в полном составе. Проделала все те же манипуляции с антивирусами - поймала кучу проблем но скрытые autorun.inf и RECYCLER есть на всех дисках и не удаляются ни одной программой. И gmer.exe -ссылается на svhost.exe и при сканировании. В следующем письме выложу логи с этогго компьютера №2.
Выкладываю новые логи(компьютер №1)
Последний раз редактировалось vvvvvvvvvv1972; 10.09.2010 в 23:52.
Не оставляйте пожалуйста мои вопросы без ответов. Хоть проблемы и типичные, но все равно тяжело бороться в одиночку. Тем более, что уверенности в победе нет совсем.
Вот что удалось найти : НОД определяет этот вирус как Confiker a Касперский как Kido . Здесь http://www.viruslist.com/ru/viruses/...rusid=21782733 (и за 13.01 еще одна его модификация) приведена схема лечения и чистка реестра, но я у себя в реестре не нахожу папку из пункта №1 и строчку реестра в папке пункта №2. Т.е. я не могу выполнить ни №1 ни №2. Все что написано далее, т.е. пункты по удалению файлов - их уже переловили НОД, ДР ВЕБ и каспкрский. Autorun.inf почему то переименовался в Autorun.bak ион уже не скрытый и вручную не удаляются - пишет не находит файл... Помогите пожалуйста.
Заплатки на системе все стоят? Где находится этот Autorun.bak? В логах ничего нет...
Заплатки, обновления стоят все. Кеш, временные файлы чищу два раза в день. У меня два компа стоит на соседних столах. проблемы одни и те же. Здесь у меня две темы только вторая с №2. Так вот в первом компе - логи выложены выше - папка Autorun.inf благополучно удалилась в процессе многократных сканирований, а во втором (логи в теме Караул. Помогите. Зависает все. svchost.exe жрет всю память.#2) эта папка переименовалась в Autorun.bak и уже не является скрытой. Удалить ничем нельзя.Нод на обоих компах по четыре раза в день кричит что найден Confisker и удалить его не могут.Все базы последние. Все сканеры каждый день качаю новые.
Вы про меня не забыли???
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) vvvvvvvvvv1972, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.