Показано с 1 по 14 из 14.

Сменил антивирус и понеслась (заявка № 84762)

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2007
    Сообщений
    69
    Вес репутации
    63

    Exclamation Сменил антивирус и понеслась

    Поменял макафи на нод, начались траблы с компом(ребут, синий экран, svchost хавает пол проца), запустил cureit он много чего нашел, но особо не помогло

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\6f9d12af.exe,C:\WINDOWS\system32\fb2f337e.exe,
    O4 - Startup: monoca32.exe
    O20 - Winlogon Notify: Csrss - Invalid registry found
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
     QuarantineFile('C:\WINDOWS\system32\fb2f337e.exe','');
     QuarantineFile('C:\WINDOWS\system32\6f9d12af.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys','');
     QuarantineFile('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe','');
     DeleteFile('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
     DeleteFile('C:\WINDOWS\system32\6f9d12af.exe');
     DeleteFile('C:\WINDOWS\system32\fb2f337e.exe');
     DeleteFile('C:\WINDOWS\Tasks\At1.job');
     DeleteFile('C:\Documents and Settings\Администратор\Шаблоны\WowTumpeh.com');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     DeleteService('ati4flxx');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

    Сделайте лог Gmer

  4. #3
    Junior Member Репутация
    Регистрация
    12.01.2007
    Сообщений
    69
    Вес репутации
    63
    После скрипта ничего не изменилось, после cureit тоже, KAVRT нашел monoca и еще чтото, после него все заработало, гмер сюда не влазит

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
     DeleteService('ati4flxx');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

    Сделайте лог Gmer

  6. #5
    Junior Member Репутация
    Регистрация
    12.01.2007
    Сообщений
    69
    Вес репутации
    63
    Карантин выслан, спасибо, гмер не грузица, превышен лимит вложений.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от maxi s Посмотреть сообщение
    гмер не грузица, превышен лимит вложений.
    Удалите старые вложения через Мой кабинет
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    12.01.2007
    Сообщений
    69
    Вес репутации
    63
    Спустя пару часов проблема всплыла опять, посмотрите пожалуйста логи.
    Последний раз редактировалось maxi s; 23.10.2010 в 19:12.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Сохраните текст ниже как 1.bat в ту же папку, где находится o7m4ohbp.exe (GMER) и запустите этот батник(1.bat):
    Код:
    o7m4ohbp.exe -del service gfazzi 
    o7m4ohbp.exe -del file "C:\WINDOWS\system32\rcotqw.dll"
    o7m4ohbp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gfazzi "
    o7m4ohbp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gfazzi "
    o7m4ohbp.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:

    2.Выполните скрипт в AVZ в безопасном режиме
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe','');
     DeleteService('ati4flxx');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe');
     DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_DeleteSvc('ati4flxx');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  10. #9
    Junior Member Репутация
    Регистрация
    12.01.2007
    Сообщений
    69
    Вес репутации
    63
    Все сделал, проблема осталась
    Последний раз редактировалось maxi s; 23.10.2010 в 19:12.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    C:\Администратор.exe - это что за файл?
    C:\3w2lqkh5.exe - это gmer?

    Сделайте лог МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    12.01.2007
    Сообщений
    69
    Вес репутации
    63
    Цитата Сообщение от thyrex Посмотреть сообщение
    C:\Администратор.exe - это что за файл?
    C:\3w2lqkh5.exe - это gmer?

    Сделайте лог МВАМ
    C:\Администратор.exe - hijackthis
    C:\3w2lqkh5.exe - Cureit
    Последний раз редактировалось maxi s; 23.10.2010 в 19:12.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ все, кроме
    Код:
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    лог MBAM повторите

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\главное меню\программы\автозагрузка\monoca32.exe - Rootkit.Win32.Agent.bijs ( DrWEB: Trojan.Botnetlog.478, BitDefender: Backdoor.Generic.412084, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\windows\system32\fb2f337e.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.MulDrop.64715, BitDefender: Gen:Variant.Zbot.15 )
      3. c:\windows\system32\syspanel32.exe - Trojan-Banker.Win32.Fibbit.y ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@amZceDb, AVAST4: Win32:Malware-gen )
      4. c:\windows\system32\6f9d12af.exe - Backdoor.Win32.Shiz.gen ( DrWEB: BackDoor.Siggen.25758, BitDefender: Trojan.Dropper.TON, AVAST4: Win32:Trojan-gen )


  • Уважаемый(ая) maxi s, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 05.08.2012, 23:21
    2. Ответов: 1
      Последнее сообщение: 13.06.2012, 07:34
    3. Кто-то сменил пароль на WM кипере...
      От samcool в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.07.2010, 01:58
    4. Sourgeforge.net сменил дизайн
      От Aleksandra в разделе Linux
      Ответов: 0
      Последнее сообщение: 04.07.2009, 08:28
    5. Сменил пароли - начались проблемы
      От vd7 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 16.02.2008, 18:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01138 seconds with 19 queries