Медленно загружается, хотя троянцев в процессах уже не видать...
Медленно загружается, хотя троянцев в процессах уже не видать...
Последний раз редактировалось PavelA; 07.08.2009 в 10:30. Причина: карантин был удален
virusinfo_syscheck.zip пришлите
Добавлено через 3 минуты
Зверья много, лечение будет тяжелым.
Сделать заново все логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regeizc.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys',''); DeleteService('ws2_32sik'); QuarantineFile('C:\WINDOWS\system32\drivers\TUTJRURP.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); DeleteService('port135sik'); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); DeleteService('nicsk32'); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); DeleteService('netsik'); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); DeleteService('ksi32sk'); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); DeleteService('fips32cup'); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); DeleteService('ati64si'); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); DeleteService('amd64si'); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); DeleteService('acpi32'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys'); DeleteFile('C:\WINDOWS\system32\regeizc.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин по Правилам Приложение 3
Последний раз редактировалось PavelA; 07.08.2009 в 10:34. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ы... Позвонили в тяпницу и срочно вызвали... Вот только добрался до больного.
карантин выслал по п.3.
Профиксить:
Выполнить:Код:O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
Прислать карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); RebootWindows(true); end.
Быть готовым к замене вот этого файла, нужен будет дистрибутив винды.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксил.
Карантин отправил.
А вот к замене чего быть не совсем понял. Ntfs.sys?
Последний раз редактировалось Stock; 09.08.2009 в 18:50.
Доброго времени суток. Машина остаётся с прежними симптомами... Грузится с длинной паузой. Папки открываются и приложения запускаются с длинной паузой. Удалил на компе авиру, поставл KIS с демо ключиком. По двойному клику на иконке KIS в трэе ничего не произошло по истечении 10 минут, возможно откроется еще позже... Какие мне еще можно применить методы реанимации?
C:\WINDOWS\system32\Drivers\Ntfs.sys надо заменить по этой методике
После этого сделать новые логи, предварительно обновив базы AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
файл заменил из папки windows\system32\dllcache\ на этой-же машине. Вот логи с новыми базами.
В самом идеальном случае копии системных файлов можно найти на системном диске в папках
%systemroot%\system32\dllcache или %systemroot%\ServicePackFiles\i386.
Написано так, так и сделал. Т.к. машинка со вторым сервиспаком, а я такое перестал использовать давно. И описанный ниже вариант реанимации по дистрибутиву (SP2) применить не могу за неимением такового...
Возможна-ли замена файлом с донора под SP3?
Почему вы читаете через строчку? Там ещё написано такое
Вот вам файлик с системы SP2Однако здесь нельзя исключить опасность заражения вирусом и этих резервных файлов
Почему вы читаете через строчку? Там ещё написано такое...
Нет, я прочитал всё полностью от заглавной буквы до последней точки. Считая что идеальный вариант восстановления был-бы именно с дистрибутива я и упомянул о том что восстановил из кэша вылечиваемой машины...
И я таки не понял где искать "Вот вам файлик..."
О! После рефреша появилось и вложение... Глюк...
Файл заменил, логи сделал. Однако AVZ настойчиво кладет его в архив virusinfo_cure даже после замены. Так и осталась пауза при загрузка компа. Запуск AVZ и Hijackthis проходят быстро без тормозов. Но вот например чтобы выгрузить KIS нажимаю на нём в трэе правую кнопку и жду полторы минуты, появляется контекстное меню. Компьютер с гигом оперативки и семпроном 3200 настолько сильно тормозить не должен. Да и загрузка процессора по диспетчеру задач незначительная.
Последний раз редактировалось Rene-gad; 10.08.2009 в 15:39.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: Shell=Explorer.exe
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('TUTJRURP'); QuarantineFile('C:\WINDOWS\system32\drivers\TUTJRURP.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\TUTJRURP.sys'); DeleteService('TUTJRURP'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(9); BC_DeleteSvc('TUTJRURP'); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Добавлено через 1 минуту
Закачайте файл virusinfo_cure.zip по правилам а потом удалите его.
Последний раз редактировалось Rene-gad; 10.08.2009 в 15:44. Причина: Добавлено
Вот. Всё по написанному.
PS. Rene-gad Загляните пожалуйста еще в эту тему. http://virusinfo.info/showthread.php?t=51701
Последний раз редактировалось Stock; 10.08.2009 в 16:29. Причина: удалён virusinfo_cure
В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
В общем всё работает, обновления почти все сделал. Тормоз присутствующий при загрузке так и остался, однако его пользователь охарактеризовал как перманентный.
Попробуйте этим почистить
CCleaner не помог... Но после скачивания очередной порции из WSUS всё пришло в норму. Спасибо за помошь!
Уважаемый(ая) Stock, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.