-
Junior Member
- Вес репутации
- 58
Есть вирус или нет?
Здравствуйте. В этих делах не_профессионал. Почему то сильно грузиться винда при запуске. Может звредина какая?
И еще вопрос при проверке Антивирусом Зайцева, появлялись предупреждения разного характрера, типо "Доступ к C$, D$ разрешен" и др.
Как собственно можно эти "дырочки" залатать? Заранее спасибо тем кто откликнется и поможет.
Последний раз редактировалось highwaystar; 11.12.2009 в 16:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
Выполните, пожалуйста, эти правила.
-
-
Junior Member
- Вес репутации
- 58
Блин, забыл вложить сразу. АП.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('zzngo');
StopService('ztzgr');
StopService('zqqctqc');
StopService('zowohibut');
StopService('zgymw');
StopService('zcvjl');
StopService('zcmgaku');
StopService('zabhrj');
StopService('yvtpz');
StopService('yjnabig');
StopService('yaagdg');
StopService('xsumchdn');
StopService('xsjltgixe');
StopService('xhtxzqdtx');
StopService('xgtvg');
StopService('wwdetru');
StopService('wphfzuqk');
StopService('wmvroozik');
StopService('vxkjrrn');
StopService('vxare');
StopService('vmbgrqlnz');
StopService('vjyhhcrj');
StopService('vjgvhujk');
StopService('uoctlfcwx');
StopService('ultyimcd');
StopService('tovwzexhk');
StopService('slkuk');
StopService('skyqlta');
StopService('rspms');
StopService('reebbbjp');
StopService('razjgon');
StopService('qyftw');
StopService('qqcsdsjw');
StopService('qozaux');
StopService('qlyimu');
StopService('qeevodbk');
StopService('qbqdizieh');
StopService('pyqmkegp');
StopService('pqyrwmia');
StopService('plqfwbxlr');
StopService('opbocnwid');
StopService('onjslw');
StopService('olhhc');
StopService('ogstkdpcu');
StopService('oejfxug');
StopService('nzxiru');
StopService('ntqak');
StopService('njkuq');
StopService('nganqo');
StopService('nbtwnf');
StopService('natlimub');
StopService('mztzty');
StopService('mufsirwv');
StopService('mptriy');
StopService('mpedcx');
StopService('lwwnkmre');
StopService('laxfxepdx');
StopService('khzdrtn');
StopService('kedcwl');
StopService('kdwfoas');
StopService('kdltoisqo');
StopService('jxjhaay');
StopService('jjrad');
StopService('jdalxw');
StopService('iwhmqtwy');
StopService('hysnxix');
StopService('hwvibdit');
StopService('hujue');
StopService('hnddvowv');
StopService('gungwoc');
StopService('gpobffj');
StopService('gpcln');
StopService('gacwokys');
StopService('fvmtyn');
StopService('fpuchego');
StopService('fncazst');
StopService('ficfl');
StopService('fdtpu');
StopService('ewrri');
StopService('ecxmqft');
StopService('dvrkymdc');
StopService('conpyow');
StopService('cjxtwvuxf');
StopService('awxsxtj');
StopService('awjikc');
StopService('afrst');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteService('zzngo');
DeleteService('ztzgr');
DeleteService('zqqctqc');
DeleteService('zowohibut');
DeleteService('zgymw');
DeleteService('zcvjl');
DeleteService('zcmgaku');
DeleteService('zabhrj');
DeleteService('yvtpz');
DeleteService('yjnabig');
DeleteService('yaagdg');
DeleteService('xsumchdn');
DeleteService('xhtxzqdtx');
DeleteService('xgtvg');
DeleteService('wwdetru');
DeleteService('wphfzuqk');
DeleteService('wmvroozik');
DeleteService('wafdougo');
DeleteService('vxkjrrn');
DeleteService('vxare');
DeleteService('vmbgrqlnz');
DeleteService('vjyhhcrj');
DeleteService('vjgvhujk');
DeleteService('uzwsq');
DeleteService('uoctlfcwx');
DeleteService('ultyimcd');
DeleteService('tovwzexhk');
DeleteService('slkuk');
DeleteService('skyqlta');
DeleteService('rspms');
DeleteService('reebbbjp');
DeleteService('razjgon');
DeleteService('qyftw');
DeleteService('qqcsdsjw');
DeleteService('qozaux');
DeleteService('qlyimu');
DeleteService('qbqdizieh');
DeleteService('pyqmkegp');
DeleteService('pqyrwmia');
DeleteService('plqfwbxlr');
DeleteService('opbocnwid');
DeleteService('onjslw');
DeleteService('olhhc');
DeleteService('oejfxug');
DeleteService('nzxiru');
DeleteService('ntqak');
DeleteService('njkuq');
DeleteService('natlimub');
DeleteService('mztzty');
DeleteService('mufsirwv');
DeleteService('mptriy');
DeleteService('mpedcx');
DeleteService('lwwnkmre');
DeleteService('laxfxepdx');
DeleteService('khzdrtn');
DeleteService('kedcwl');
DeleteService('kdwfoas');
DeleteService('jxjhaay');
DeleteService('jjrad');
DeleteService('jdalxw');
DeleteService('iwhmqtwy');
DeleteService('hysnxix');
DeleteService('hwvibdit');
DeleteService('hujue');
DeleteService('gungwoc');
DeleteService('gpobffj');
DeleteService('gacwokys');
DeleteService('fvmtyn');
DeleteService('fpuchego');
DeleteService('fncazst');
DeleteService('esfdhonp');
DeleteService('ecxmqft');
DeleteService('dvrkymdc');
DeleteService('conpyow');
DeleteService('cjxtwvuxf');
DeleteService('awjikc');
DeleteService('afrst');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFileMask('C:\WINDOWS\system32','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('zzngo');
BC_DeleteSvc('ztzgr');
BC_DeleteSvc('zqqctqc');
BC_DeleteSvc('zowohibut');
BC_DeleteSvc('zgymw');
BC_DeleteSvc('zcvjl');
BC_DeleteSvc('zcmgaku');
BC_DeleteSvc('zabhrj');
BC_DeleteSvc('yvtpz');
BC_DeleteSvc('yjnabig');
BC_DeleteSvc('yaagdg');
BC_DeleteSvc('xsumchdn');
BC_DeleteSvc('xhtxzqdtx');
BC_DeleteSvc('xgtvg');
BC_DeleteSvc('wwdetru');
BC_DeleteSvc('wphfzuqk');
BC_DeleteSvc('wmvroozik');
BC_DeleteSvc('wafdougo');
BC_DeleteSvc('vxkjrrn');
BC_DeleteSvc('vxare');
BC_DeleteSvc('vmbgrqlnz');
BC_DeleteSvc('vjyhhcrj');
BC_DeleteSvc('vjgvhujk');
BC_DeleteSvc('uzwsq');
BC_DeleteSvc('uoctlfcwx');
BC_DeleteSvc('ultyimcd');
BC_DeleteSvc('tovwzexhk');
BC_DeleteSvc('slkuk');
BC_DeleteSvc('skyqlta');
BC_DeleteSvc('rspms');
BC_DeleteSvc('reebbbjp');
BC_DeleteSvc('razjgon');
BC_DeleteSvc('qyftw');
BC_DeleteSvc('qqcsdsjw');
BC_DeleteSvc('qozaux');
BC_DeleteSvc('qlyimu');
BC_DeleteSvc('qbqdizieh');
BC_DeleteSvc('pyqmkegp');
BC_DeleteSvc('pqyrwmia');
BC_DeleteSvc('plqfwbxlr');
BC_DeleteSvc('opbocnwid');
BC_DeleteSvc('onjslw');
BC_DeleteSvc('olhhc');
BC_DeleteSvc('oejfxug');
BC_DeleteSvc('nzxiru');
BC_DeleteSvc('ntqak');
BC_DeleteSvc('njkuq');
BC_DeleteSvc('natlimub');
BC_DeleteSvc('mztzty');
BC_DeleteSvc('mufsirwv');
BC_DeleteSvc('mptriy');
BC_DeleteSvc('mpedcx');
BC_DeleteSvc('lwwnkmre');
BC_DeleteSvc('laxfxepdx');
BC_DeleteSvc('khzdrtn');
BC_DeleteSvc('kedcwl');
BC_DeleteSvc('kdwfoas');
BC_DeleteSvc('jxjhaay');
BC_DeleteSvc('jjrad');
BC_DeleteSvc('jdalxw');
BC_DeleteSvc('iwhmqtwy');
BC_DeleteSvc('hysnxix');
BC_DeleteSvc('hwvibdit');
BC_DeleteSvc('hujue');
BC_DeleteSvc('gungwoc');
BC_DeleteSvc('gpobffj');
BC_DeleteSvc('gacwokys');
BC_DeleteSvc('fvmtyn');
BC_DeleteSvc('fpuchego');
BC_DeleteSvc('fncazst');
BC_DeleteSvc('esfdhonp');
BC_DeleteSvc('ecxmqft');
BC_DeleteSvc('dvrkymdc');
BC_DeleteSvc('conpyow');
BC_DeleteSvc('cjxtwvuxf');
BC_DeleteSvc('awjikc');
BC_DeleteSvc('afrst');
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Здравстуйте еще раз.
Все пунты выполнил. Спасибо. Но почему то стал вылазить "Мастер оборудования" Непонятно чего хочет установить. А так система грузиться быстрее.
Логи.
Что дальше?
+Вопрос
Сообщение от
highwaystar
И еще вопрос при проверке Антивирусом Зайцева, появлялись предупреждения разного характрера, типо "Доступ к C$, D$ разрешен" и др.
Как собственно можно эти "дырочки" залатать?
Последний раз редактировалось highwaystar; 11.12.2009 в 16:11.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('xhtxzqdtx');
QuarantineFile('C:\WINDOWS\system32\0163.tmp','');
QuarantineFile('C:\WINDOWS\system32\0168.tmp','');
DeleteService('wwdetru');
QuarantineFile('C:\WINDOWS\system32\03.tmp','');
DeleteService('gacwokys');
DeleteFile('C:\WINDOWS\system32\03.tmp');
DeleteFile('C:\WINDOWS\system32\0168.tmp');
DeleteFile('C:\WINDOWS\system32\0163.tmp');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
BC_DeleteSvc('xhtxzqdtx');
BC_DeleteSvc('wwdetru');
BC_DeleteSvc('gacwokys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Повторите логи.
Дополнительно:
- Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
-
-
Junior Member
- Вес репутации
- 58
Сделал проверки. Но возникали проблемы. В частности с HJThis при запуске писал: ~"Выглядит как будто вы запускаете программу с внешнего носителя "
Подозреваю виной этому был GMER. + не перезагружался Виндоус. Пришлось задней кнопкой польз.
Карантин прислал. ЛОГИ вот.
С запоздангие добавил лог syzecure
Последний раз редактировалось highwaystar; 11.12.2009 в 16:11.
-
- Удалите Bonjour.
В логах ничего подозрительного. Жалобы есть?
-
-
Junior Member
- Вес репутации
- 58
Rene-gad,
Белый Сокол, Спасибо Вам собственно.
Сообщение от
highwaystar;455057т
+Вопрос
Цитата:
Сообщение от highwaystar Посмотреть сообщение
И еще вопрос при проверке Антивирусом Зайцева, появлялись предупреждения разного характера, типо "Доступ к C$, D$ разрешен" и др.
Как собственно можно эти "дырочки" залатать?
-
Можете воспользоваться "Мастером поиска и устранения проблем" в AVZ.
Или выполните скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Советую вам прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-