-
Junior Member
- Вес репутации
- 60
Долго грузится explorer.exe
Здравствуйте!
Посмотрите, пожалуйста, логи.
добавочка - лог gmer'а
и собираюсь сделать так:
Код:
gmer.exe -del service dojcumesy
gmer.exe -del file "C:\WINDOWS\system32\bfeohcg.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dojcumesy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dojcumesy"
gmer.exe -reboot
еще кое-что: процесс winlogon.exe грузит проц почти полностью
Последний раз редактировалось 17_sqrt_2; 08.09.2009 в 00:07.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скрипт дла гмера одобрен
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winyf16');
StopService('Winxe16');
StopService('Winvc27');
StopService('Winpv27');
StopService('Winou40');
StopService('Winjp73');
StopService('Winjp27');
StopService('Winek16');
StopService('Winci38');
StopService('WDICA');
StopService('W32Timegusvclanmanworkstation');
StopService('TrkWksShellHWDetection');
StopService('ThemesAudioSrv');
StopService('SamSsSpooler');
StopService('RDSessMgrWmiApSrv');
StopService('RasAutoBrowser');
StopService('NlaFastUserSwitchingCompatibility');
StopService('NlaCiSvc');
StopService('mnmsrvcRasAuto');
StopService('MDMwuauserv');
StopService('lich');
StopService('lanmanworkstationAudioSrv');
StopService('KLBLMainSENS');
StopService('gusvcRemoteRegistry');
StopService('gusvclanmanworkstation');
StopService('ERSvcNtLmSsp');
StopService('CryptSvcNla');
StopService('BITSEventSystem');
QuarantineFile('wmvstat.dll','');
QuarantineFile('srv.exe','');
QuarantineFile('msansspc.dll','');
QuarantineFile('confwmv.dll','');
QuarantineFile('C:\WINDOWS\system32\lich.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winek16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winci38.sys','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteService('Winyf16');
DeleteService('Winxe16');
DeleteService('Winvc27');
DeleteService('Winpv27');
DeleteService('Winou40');
DeleteService('Winjp73');
DeleteService('Winjp27');
DeleteService('W32Timegusvclanmanworkstation');
DeleteService('TrkWksShellHWDetection');
DeleteService('ThemesAudioSrv');
DeleteService('SamSsSpooler');
DeleteService('RDSessMgrWmiApSrv');
DeleteService('RasAutoBrowser');
DeleteService('NlaFastUserSwitchingCompatibility');
DeleteService('NlaCiSvc');
DeleteService('mnmsrvcRasAuto');
DeleteService('MDMwuauserv');
DeleteService('lich');
DeleteService('lanmanworkstationAudioSrv');
DeleteService('KLBLMainSENS');
DeleteService('gusvcRemoteRegistry');
DeleteService('gusvclanmanworkstation');
DeleteService('ERSvcNtLmSsp');
DeleteService('CryptSvcNla');
DeleteService('BITSEventSystem');
DeleteService('AppMgmtNetlogon');
DeleteFile('wmvstat.dll');
DeleteFile('srv.exe');
DeleteFile('msansspc.dll');
DeleteFile('confwmv.dll');
DeleteFile('C:\WINDOWS\System32\wmvstat.dll');
DeleteFile('C:\WINDOWS\System32\confwmv.dll');
DeleteFile('C:\WINDOWS\system32\lich.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winci38.sys');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winyf16');
BC_DeleteSvc('Winxe16');
BC_DeleteSvc('Winvc27');
BC_DeleteSvc('Winpv27');
BC_DeleteSvc('Winou40');
BC_DeleteSvc('Winjp73');
BC_DeleteSvc('Winjp27');
BC_DeleteSvc('W32Timegusvclanmanworkstation');
BC_DeleteSvc('TrkWksShellHWDetection');
BC_DeleteSvc('ThemesAudioSrv');
BC_DeleteSvc('SamSsSpooler');
BC_DeleteSvc('RDSessMgrWmiApSrv');
BC_DeleteSvc('RasAutoBrowser');
BC_DeleteSvc('NlaFastUserSwitchingCompatibility');
BC_DeleteSvc('NlaCiSvc');
BC_DeleteSvc('mnmsrvcRasAuto');
BC_DeleteSvc('MDMwuauserv');
BC_DeleteSvc('lich');
BC_DeleteSvc('lanmanworkstationAudioSrv');
BC_DeleteSvc('KLBLMainSENS');
BC_DeleteSvc('gusvcRemoteRegistry');
BC_DeleteSvc('gusvclanmanworkstation');
BC_DeleteSvc('ERSvcNtLmSsp');
BC_DeleteSvc('CryptSvcNla');
BC_DeleteSvc('BITSEventSystem');
BC_DeleteSvc('AppMgmtNetlogon');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Последний раз редактировалось Rene-gad; 06.08.2009 в 11:15.
-
-
Junior Member
- Вес репутации
- 60
карантин: 090806_125814_virus_4a7a9b2626d3a.zip
и новые логи:
Последний раз редактировалось 17_sqrt_2; 08.09.2009 в 00:07.
-
Восстановление системы: включено
Отключите Системное восстановление.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 60
извиняюсь, вот лог авз (скрипт 2) остальное тоже повторить?
Последний раз редактировалось 17_sqrt_2; 08.09.2009 в 00:07.
-
Сообщение от
17_sqrt_2
остальное тоже повторить?
Повторите действия, описанные в п. 1 - 3 Диагностики
-
-
Junior Member
- Вес репутации
- 60
хорошо, сделаю. просто загрузка винды занимает пол часа
вот:
Последний раз редактировалось 17_sqrt_2; 08.09.2009 в 00:07.
-
Junior Member
- Вес репутации
- 60
кто-то логи посмотрел ведь? каковы результаты?
извиняюсь за "ап", но тут скоро на клюшку все закроют и придется отложить процесс
-
- Выполните скрипт
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
end.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).[/QUOTE]
Добавлено через 45 секунд
Сообщение от
17_sqrt_2
тут скоро на клюшку все закроют и придется отложить процесс
Делайте все ОДИН РАЗ, но КАК ПОЛОЖЕНО - будет быстрее
Последний раз редактировалось Rene-gad; 06.08.2009 в 15:10.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
карантин пуст, нет в том месте такого файла
-
OK
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 30
- В ходе лечения вредоносные программы в карантинах не обнаружены
-