Симптомы:
- общие тормоза при работе с системой.
- не ставится СП3, машина уходит в ребут.
- полностью KIS не удаляется.
Стоял KIS 7.0, ничего не находил.
Windows XP SP2, IE6.
По логам вижу, что зараза какая-то есть.
Заранее благодарен за помошь.
Симптомы:
- общие тормоза при работе с системой.
- не ставится СП3, машина уходит в ребут.
- полностью KIS не удаляется.
Стоял KIS 7.0, ничего не находил.
Windows XP SP2, IE6.
По логам вижу, что зараза какая-то есть.
Заранее благодарен за помошь.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\Documents and Settings\user\qcdapwe.exe',''); DeleteFile('C:\Documents and Settings\user\qcdapwe.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог Gmer
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
логи Gmer и RSIS
З.Ы. загрузка карантина не идет. Значек крутится, статус: "идет отправка запроса..."
- Сохраните текст ниже как 1.bat в ту же папку, где находится 9nnhh514.exe (GMER) и запустите этот батник(1.bat):
Компьютер перезагрузится.Код:9nnhh514.exe -del service slghjz 9nnhh514.exe -del service wrtuau 9nnhh514.exe -del file "C:\WINDOWS\system32\bcfviees.dll" 9nnhh514.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\slghjz" 9nnhh514.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\slghjz" 9nnhh514.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wrtuau" 9nnhh514.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wrtuau" 9nnhh514.exe -reboot
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог Gmer
лиги AVZ и GMER
Профиксите в HijackThis как "профиксить в HiJackThis"
Больше подозрительного нет.Код:R3 - URLSearchHook: (no name) - - (no file) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Добавлено через 1 минуту
Да, карантин попробуйте загрузить
Последний раз редактировалось polword; 13.07.2010 в 12:17. Причина: Добавлено
спасибо за помошь.
По карантину: там оказалось 140 мб. интернет очень медленный, уходит долго.
И не уйдёт. Не влезет в лимиты.
компьютер летает. Спасибо. Тему можно закрывать.
Уважаемый(ая) sTarget, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.