-
Junior Member
- Вес репутации
- 53
Помогите устранить последствия вирусной активности
Компьютер старый, windows не переустанавливался давно. Сейчас и нет тпкой возможности. Проблема следующая. Стоит антивирус Касперский 10 (пробный) говорит что система под защитой. Но не работает сд-ром. Возможно по следующим причинам: либо просто сломан, либо последствия вируса, либо последствия работы эмуляторов (Алклголь120 и даймонд толс), либо последствие не удачной чистки реестра.
Вообще комп тормозит, долго загружается система долго выключается.
Прилагаю логи.
Можно ли подлечить комп без переустановки винды и без покупки сд-рома(он работает как то временами, при вставлении диска, пропадает значек привода и вылетает из диспетчера устройств. Диск прочитать можно, только по следующей схеме перезагрузка-отключение привода в диспечере-перезагрузка-включение привода в диспетчере, но читает с зависанием, медленно)
Еще, есть один подозрительный файл на диске С с именем 3456346345643 выглядит как приложение. Поиск данных в интернете по нему выдает в основном зарубежные сайты где говорится что это троян, но каспер и нод32 мимо него проходили всегда. При попытке удалить, ругается на использование другой программой или пользователем.
Последний раз редактировалось S1111S; 06.11.2009 в 14:14.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Ребята, кто -то же посмотрел логи...отпишите пожалуйста в теме как, что...
Последний раз редактировалось S1111S; 06.11.2009 в 09:31.
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('gupdate1ca12d3bd7f430.sys','');
QuarantineFile('gupdate1ca12d3bd7f430.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll','');
DeleteService('gupdate1ca12d3bd7f430');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\nsysaudm.sys','');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('C:\Documents and Settings\User\Application Data\bpfeed.dll','');
QuarantineFile('C:\WINDOWS.0\system32\novamnv5.dll','');
QuarantineFile('C:\WINDOWS.0\system32\Vklmon.dll','');
QuarantineFile('C:\WINDOWS.0\wt\webdriver\4.1.1\webdriver.dll','');
DeleteFile('C:\WINDOWS.0\wt\webdriver\4.1.1\webdriver.dll');
DeleteFile('C:\Documents and Settings\User\Application Data\bpfeed.dll');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\nsysaudm.sys');
ExecuteWizard('TSW', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 ).
Hекоторых записей может не оказаться - это нормально.
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS.0\System32\userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O20 - Winlogon Notify: atiataxx - C:\WINDOWS.0\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS.0\
3.Повторить логи
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 53
Kuzz, Здравствуйте! Карантин отправил, выполняю второй и третий пункты.
-
Junior Member
- Вес репутации
- 53
Kuzz, новые логи, в HijackThis не было записи O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing)
Последний раз редактировалось S1111S; 06.11.2009 в 16:26.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteService('gupdate1ca12d3bd7f430');
QuarantineFile('gupdate1ca12d3bd7f430.sys','');
QuarantineFile('C:\WINDOWS.0\system32\Vklmon.dll','');
DeleteFile('C:\WINDOWS.0\system32\Vklmon.dll');
DeleteFile('gupdate1ca12d3bd7f430.sys');
DeleteFile('%windir%\system32\drivers\gupdate1ca12d3bd7f430.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
snifer67,Простите, а можно узнать что с моим компом, в двух словах. Шлю логи, карантин прислал ранее.
Последний раз редактировалось S1111S; 06.11.2009 в 16:26.
-
Junior Member
- Вес репутации
- 53
snifer67, Ребята, вы где есть? При всем Уважении к вам и к тому чем вы занимаетесь, вы хоть как отзовитесь!
-
По логам вроде чисто
Сообщение от
S1111S
Возможно по следующим причинам: либо просто сломан, либо последствия вируса, либо последствия работы эмуляторов (Алклголь120 и даймонд толс)
Если после полного удаления эмуляторов привод не сможет работать, то стоит протестировать его на другом компьютере.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 53
Kuzz, Есть шансы на победу?))
Добавлено через 1 минуту
Kuzz, я сейчас попробую привод. А цифровой эхешник остался, это не опасно?
Добавлено через 1 минуту
Сообщение от
Kuzz
По логам вроде чисто
Если после полного удаления эмуляторов привод не сможет работать, то стоит протестировать его на другом компьютере.
Kuzz, А мы их удалили полностью или еще нет?
Последний раз редактировалось S1111S; 06.11.2009 в 15:26.
Причина: Добавлено
-
Эмуляторы мы не трогали.
У них есть штатный деинсталлятор
Цифровой экзешник может быть частью WindowsUpdate
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Kuzz
По логам вроде чисто
Если после полного удаления эмуляторов привод не сможет работать, то стоит протестировать его на другом компьютере.
Kuzz, Проверил, наверно все-таки битый привод....один диск открыл, второй попытался, и опять пропал привод.Еще что - то делать надо??Вы еще что-то поменяли в системе?Я там видел много каких-то перехватчиков неопознанных...Система рабочая или лудше переустановить???
Добавлено через 5 минут
Сообщение от
Kuzz
Эмуляторы мы не трогали.
У них есть штатный деинсталлятор
Цифровой экзешник может быть частью WindowsUpdate
Kuzz, Благодарю за помощь и участие Вас и Всех кто имел отношение!!!Вы мне только последнюю отмашку дайте, совет, что с компом делать. Нормальный он или дырявый?Часто, к слову сетевые атаки происходят, причем каспер пишет что комп не был заблокирован.
Последний раз редактировалось S1111S; 06.11.2009 в 15:40.
Причина: Добавлено
-
От сетевых атак помогает своевременная установка обновлений (а критические обновления МС раздает без проверки лицензионности).
По логам - система нормальная.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Kuzz
От сетевых атак помогает своевременная установка обновлений (а критические обновления МС раздает без проверки лицензионности).
По логам - система нормальная.
Благодарю за помощь!!!Как говорится - Надейся на лучшее, но готовься к худшему. Если случится худшее, обращусь к Вам еще.
Сообщение от
Kuzz
The worst foe lies within the self...
А, когда сам себя победишь...не станет ли скучно...без самого злейшего врага?
-
S1111S, Оу.. кто-то еще верит в то, что можно победить себя?
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 53
Kuzz,
Сообщение от
Kuzz
S1111S, Оу.. кто-то еще верит в то, что можно победить себя?
Не бывает правил без исключений, правило без исключений - исключение из правила.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 43
- В ходе лечения вредоносные программы в карантинах не обнаружены
-