-
Junior Member
- Вес репутации
- 52
"Вешается" система при открытии файлов
Здравствуйте ! У меня установлен Windows XP (Sp3) лицензия + Kaspersky Internet Security 2010 с последними базами... Установлен Ms Office 2003
При попытке открытия некоторых DOC файлов и *.CHM компьютер вещается намертво, даже мышка не двигается.
Переустановка MS Office ничего не дает.
Раньше такого не было !
Помогите пожалуйста !
Последний раз редактировалось pig; 25.01.2010 в 04:59.
Причина: карантин в теме - моветон
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('W:\FOND9\ME.BAT','');
QuarantineFile('Z:\NG\WEG.EXE','');
QuarantineFile('C:\WINDOWS\123123\123.vbs','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам.
Те файлы что в карантин определяю, они вам знакомы?
-
-
Junior Member
- Вес репутации
- 52
Спасибо, что откликнулись.
Файлы мне знакомы:
'W:\FOND9\ME.BAT' - вызывает старый DOS редактор ME 7.0 я им пользуюсь постоянно.
'Z:\NG\WEG.EXE' - Windows утилита просмотра NG-файлов помощи, пользуюсь давно.
'C:\WINDOWS\123123\123.vbs' - фигня какаята, удалил ручками, после того как ругался Касперский. Выслать его не могу.
Высылаю запрошенный вами файл....
И еще добавление. Я загрузился с USB Windows PE. Зашел на свои диски и везде убил ВСЕ в папках System Volume Information
После этого система работала просто великолепно. Но спустя буквально через день, а может и раньше опять начал "ВЕШАТЬ" комп на DOC & CHM файлах.
При сборе вирусов AVZ - касперский опять ругался:
25.01.2010 14:01:29 Удалено троянская программа Trojan-Ransom.Win32.PinkBlocker.iq C:\System Volume Information\_restore{F9238174-7480-46EC-9ECC-20D98A44A2AE}\RP4\A0008877.exe Высокая
25.01.2010 14:01:19 Удалено троянская программа Trojan-Ransom.Win32.PinkBlocker.iq C:\System Volume Information\_restore{F9238174-7480-46EC-9ECC-20D98A44A2AE}\RP3\A0008793.exe
Как быть ? И что это за сообщение в AVZ:
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll C:\WINDOWS\system32\vksaver.dll,C:\PROGRA~1\KASPER ~1\KASPER~2\mzvkbd3.dll"
Проверка завершена
И нужно ли отключить:
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Если компьютер используется ТОЛЬКО в домашней локальной сети из 3х-компьютеров ?
Последний раз редактировалось AndreyKa; 26.01.2010 в 09:09.
Причина: убрал карантин
-
Файл карантина нужно заргружать по красной ссылке вверху темы.
Зачистим остатки, выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\123123\123.vbs');
DeleteFile('C:\WINDOWS\Tasks\security.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Повторите лог virusinfo_syscheck.zip
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
Карантин загрузил, оба лога прикрепил...
А трояны, которые нашел MBAM удалять ?
-
MBAM итак уже все удалил. Там кейгены были. Ничего плохого в логе не обнаружил.
Сделайте лог GSI
-
-
Junior Member
- Вес репутации
- 52
Сделал отчёт.
Найден один неизвестный файл:
Сообщение от
DkrK.exe
C:\DOCUME~1\86A9~1\LOCALS~1\Temp\ [1]
=> C:\Documents and Settings\Андрей\Local Settings\Temp\DkrK.exe
Дата изменения: 2010.01.24 00:14:29
Размер: 278 bytes
версия:
Версия продукта:
Legal copyright:
MD5: 6bd5bbee17b005b47c5e494d0042e26f
Просмотрел его содержимое, вот что внутри его:
Код HTML:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /cgi-bin/ip/z002102318801r0019J10000601Rca2fd5f9Xa7a66fc9Yecfd0969Z03007f352 was not found on this server.</p>
</body></html>
Возможно часть трояна ? О_о
Последний раз редактировалось skynetxxx; 01.02.2010 в 15:19.
Причина: дополнил
-
C:\Documents and Settings\Андрей\Local Settings\Temp\DkrK.exe
пришлите согласно правил.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения вредоносные программы в карантинах не обнаружены
-