Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Проблемы в работе компа. (заявка № 79092)

  1. #1
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30

    Thumbs up Проблемы в работе компа.

    Уважаемые хелперы, прошу помочь в лечении компа. Не первый раз к Вам обращаюсь и знаю как работает система. Но в этот раз случай особо тяжелый. Маккафа нашла троян в кэше Lando!rootkit. Судя по симптомам он блокирует запуск многих программ (Даунлоад мастер, AVZ и прочие). Я не могу запустить проги, чтобы согласно установленным правилам выложить логи. Dr.Web нашел еще spoolsv.exe но боюсь что это не все. Комп стал выключаться 10-12 минут, хотя раньше эта процедура занимала у него до 1,5 минут.
    Жена фрилансер и ей без компа никак. Прошу Вас помогите. По факту лечения помогу вэбманями вашему ресурсу.
    Последний раз редактировалось PavelA; 26.05.2010 в 09:52.

  2. Реклама
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30
    запустился.
    сейчас поставлю на проверку.

  5. #4
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30
    предоставляю логи
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30
    Перечислил помощь сайту - 3 wmz
    Прошу, помогите избавиться от троянов

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    89
    Отключить восстановление системы, защитное По
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe','');
     QuarantineFile('C:\WINDOWS\BR040286.exe','');
     QuarantineFile('C:\DOCUME~1\8485~1\LOCALS~1\Temp\ios.tmp','');
     DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи попробовать сделать обычным авз(предварительно, обновив базы).

  8. #7
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30
    обычный авз не запускается, сделаю полиморфным.

  9. #8
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30
    логи после выполнения скрипта
    Вложения Вложения

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
     DeleteFile('C:\DOCUME~1\8485~1\LOCALS~1\Temp\ios.tmp');
     DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(12);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Смените все пароли. Они могли попасть к злоумышленникам.

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30
    после того как провел предложенные вами манипуляции запустилась обычная АВЗ (базы обновил). логи выполнены с ее помощью. новый файл карантина не был создан. чувствую что проблема еще не решена, но уже лучше. начал запускаться даунлоад мастер.
    Вложения Вложения

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Цитата Сообщение от Кромвель Посмотреть сообщение
    новый файл карантина не был создан
    Он и не должен был создаться. Это была лишняя рекомендация

    Пофиксите в HiJack
    Код:
    O20 - AppInit_DLLs: winmm.dll
    Больше ничего плохого

    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Adobe Acrobat 9.3 или удалите старый
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30
    профиксил. предоставляю логи. установил IE 8. Акробат ридер по вашей ссылке не нашел чтобы скачать бесплатно. Купить - дорого . скажите обязательно сносить старую версию? просто она нужна в работе.
    прошу предоставить рекомендации.
    Вложения Вложения

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Цитата Сообщение от Кромвель Посмотреть сообщение
    скажите обязательно сносить старую версию? просто она нужна в работе.
    На свой страх и риск можете пользоваться. Или найти бесплатный аналог

    Логи чистые
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Цитата Сообщение от Кромвель Посмотреть сообщение
    Акробат ридер по вашей ссылке не нашел чтобы скачать бесплатно. Купить - дорого . скажите обязательно сносить старую версию? просто она нужна в работе.
    Качайте--http://get.adobe.com/reader/otherversions/

  16. #15
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30
    установил рекомендованныу версию 9.3 Акробат ридера. Старый не сносил. Спасибо вам за помощь, уважаемые хэлперы. Прошу вас ответить однозначно - лечение закончено? Можна включать восстановление системы, снести DrWeb, установить Маккафу?

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Цитата Сообщение от thyrex Посмотреть сообщение
    Логи чистые
    Если проблем нет, включайте восстановление системы.

  18. #17
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30
    выключается комп по прежнему долго. поставил Маккафу и она после запуска пишет что блокирует кучу приложений:

    23.05.2010 17:42:25 Blocked by port blocking rule C:\Program Files\WebMoney Agent\wmagent.exe Common Maximum Protectionrevent HTTP communication 212.158.173.189:443
    23.05.2010 17:42:28 Blocked by Access Protection rule РОР\Даша C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe \REGISTRY\MACHINE\SOFTWARE\Classes\.wid Anti-virus Maximum Protectionrevent alteration of all file extension registrations Action blocked : Write
    23.05.2010 17:42:35 Blocked by Access Protection rule РОР\Даша C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tc pip\Performance\Error Count Common Standard Protectionrotect network settings Action blocked : Delete
    23.05.2010 17:44:16 Blocked by Access Protection rule РОР\Даша C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pb k Anti-virus Maximum Protectionrotect phonebook files from password and email address stealers Action blocked : Read
    23.05.2010 17:44:54 Blocked by Access Protection rule РОР\Даша C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe \REGISTRY\MACHINE\SOFTWARE\Classes\.wid Anti-virus Maximum Protectionrevent alteration of all file extension registrations Action blocked : Write


    это опасно? я установил в ней максимальную защиту. меня смущает BTTray.exe. я последние пол года никакого програмного обеспечения или драйверов дополнительных не устанавливал, и таких сообщений Маккафа не выдавала. также она блокировала ios.tmp и у меня на его счет тоже были подозрения. судя по скриптам мы его убили.
    Обратите пож .внимание на эти файлы.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Похоже, что не добили зловреда.
    Скачайте и запустите эту утилиту--http://support.kaspersky.ru/viruses/...?qid=208636943
    Сделайте комплект логов, + сделайте лог MBAM

  20. #19
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    30
    выполнил все рекомендации. МВАМ нашел трояны. предоставляю логи.
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1.удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  • Уважаемый(ая) Кромвель, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Проблемы при работе с сетью
      От Corpse0 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.09.2011, 18:34
    2. Тормоз в работе компа
      От VVizZzarD в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 23.09.2010, 15:54
    3. synsenddrv.sys-мешает нормальной работе компа
      От comphead в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.11.2009, 20:36
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 02:57
    5. Ответов: 2
      Последнее сообщение: 12.03.2008, 14:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00523 seconds with 23 queries