Добрый день .
Похоже что подцепил на машину какую-то гадость.
В c:\windows\system32\ - появились свежие .exe файлы (часть из них drweb прибил, часть нет) , машина подтормаживает...
посмотрите пожалуйста
Добрый день .
Похоже что подцепил на машину какую-то гадость.
В c:\windows\system32\ - появились свежие .exe файлы (часть из них drweb прибил, часть нет) , машина подтормаживает...
посмотрите пожалуйста
Последний раз редактировалось alyen; 03.05.2011 в 16:19.
Доброго времени суток
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\4196b3a6.exe,\\?\globalroot\systemroot\system32\7sLF92Y.exe,
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог gmerКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\servises.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\4196b3a6.exe',''); QuarantineFile('C:\DOCUME~1\sveta\LOCALS~1\Temp\8OKpBPE4.sys',''); QuarantineFile('globalroot\systemroot\system32\7sLF92Y.exe',''); DeleteFile('globalroot\systemroot\system32\7sLF92Y.exe'); DeleteFile('C:\DOCUME~1\sveta\LOCALS~1\Temp\8OKpBPE4.sys'); DeleteFile('C:\WINDOWS\system32\4196b3a6.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\servises.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); ExecuteRepair(20); RebootWindows(true); end.
Спасибо. Логи делаю. карантин пуст..
exe файлы проверил обновленным dr.web-ом.
оказалось Trojan.PWS.Ibank.28 и Trojan.MulDrop.64715
Вот новые логи
Последний раз редактировалось alyen; 03.05.2011 в 16:19.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\qwdph.dll',''); DeleteFile('C:\WINDOWS\system32\qwdph.dll'); BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\brezoixd\Parameters'); BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\txtthd\Parameters'); BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\brezoixd\Parameters'); BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\txtthd\Parameters'); BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\brezoixd'); BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\txtthd'); BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\brezoixd'); BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\txtthd'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Скрипт выполнил. Карантин пустой. SP3 - качаю....
На мой взгляд все осталось по прежнему.
Последний раз редактировалось alyen; 03.05.2011 в 16:19.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8s3drwdm.exe (gmer)
И запустите cleanup.bat.Код:8s3drwdm.exe -del service brezoixd 8s3drwdm.exe -del service txtthd 8s3drwdm.exe -del file "C:\WINDOWS\system32\qwdph.dll" 8s3drwdm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\brezoixd" 8s3drwdm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\txtthd" 8s3drwdm.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\brezoixd" 8s3drwdm.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\txtthd" 8s3drwdm.exe -reboot
Компьютер перезагрузится!
Сделать новый лог gmer.
Выполнил.
В процессе ПК ругнулся на
8s3drwdm.exe -del file "C:\WINDOWS\system32\qwdph.dll" - файл не найден и на
8s3drwdm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\brezoi xd"
8s3drwdm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\txtthd " - некорректный параметр
Вот новые логи.
ФВинду обновляю
Последний раз редактировалось alyen; 03.05.2011 в 16:19.
Плохого не видно, что с проблемой?
Пока все в порядке.... Ставлю обновления и заплатки
Спасибо большое..
А что у меня на машине было ?
service brezoixd
service txtthd - Это что ?
Это службы от Кидо
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) alyen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.