-
Junior Member
- Вес репутации
- 51
Trojan.Packed.198, NtRootKit. 8765.
После запуска системы, запускаю любой ехе., и в диспетчере задач видно лишние процессы типа (gwg4f4ef.tmp, fqrg42bfbs.exe названия не точные не успевал записать) проходит минут 5 компютер "отпускает".
Не уверен что Dr. Web CureIt! вылечил все, он находил Trojan.Packed.198, NtRootKit. 8765. довольно много зараженных файлов было, в основном все ехе.
Переставлял много раз систему сразу чистил Др. Вебом , не помогало, после пары рестартов системы при загрузки сети вообще синий экран вылетать начинал.
Помогите.
Последний раз редактировалось Jezzo; 28.06.2010 в 16:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (file missing)
- Поставте все последние обновления системы Windows - тут
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
выполните скрипт, карантин по правилам:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
end.
-
-
Junior Member
- Вес репутации
- 51
Все сделал уязвимотей 0, запустил игру сразу появились процессы (tmp, 1368461.exe, типа такого) , и процесс cmd.exe вместе с ними периодически проскакивал в диспетчере. сразу систему нагружают , опять 3-5 минут и пропадают сами по себе.
Скорее всего нашел проблему в старом архиве с программой спрятался вирус, после его запуска началось это.
Последний раз редактировалось Jezzo; 28.06.2010 в 20:59.
-
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Сообщение от
Jezzo
Скорее всего нашел проблему в старом архиве с программой спрятался вирус, после его запуска началось это.
- Пришлите эту программу запакованную в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 51
quarantine.zip отправил, а вчерашний архив я удалил сразу, и программу с него тоже.
В карантине как раз подозрение на cmd, которое и проскакивает вместе с теми процессами.
100629_121841_quarantine_4c29ac610ab78.zip
-
C:\WINDOWS\system32\cmdow.exe - сами ставили?
-
-
Junior Member
- Вес репутации
- 51
Нет не ставил, даже не знаю откуда оно.
Последний раз редактировалось Jezzo; 29.06.2010 в 17:06.
-
Код:
C:\WINDOWS\system32\cmdow.exe
- not-a-virus:RiskTool.Win32.HideWindows
-
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После перезагрузки:
почитайте про cmdow.exe тут
если Вам это не нужно выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
Последний раз редактировалось polword; 29.06.2010 в 18:15.
-
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows
-