Поменял макафи на нод, начались траблы с компом(ребут, синий экран, svchost хавает пол проца), запустил cureit он много чего нашел, но особо не помогло
Поменял макафи на нод, начались траблы с компом(ребут, синий экран, svchost хавает пол проца), запустил cureit он много чего нашел, но особо не помогло
Пофиксите в HijackThis:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\6f9d12af.exe,C:\WINDOWS\system32\fb2f337e.exe, O4 - Startup: monoca32.exe O20 - Winlogon Notify: Csrss - Invalid registry found
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe'); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\syspanel32.exe',''); QuarantineFile('C:\WINDOWS\system32\fb2f337e.exe',''); QuarantineFile('C:\WINDOWS\system32\6f9d12af.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys',''); QuarantineFile('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe',''); DeleteFile('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys'); DeleteFile('C:\WINDOWS\system32\6f9d12af.exe'); DeleteFile('C:\WINDOWS\system32\fb2f337e.exe'); DeleteFile('C:\WINDOWS\Tasks\At1.job'); DeleteFile('C:\Documents and Settings\Администратор\Шаблоны\WowTumpeh.com'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteService('ati4flxx'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer
После скрипта ничего не изменилось, после cureit тоже, KAVRT нашел monoca и еще чтото, после него все заработало, гмер сюда не влазит
Выполните скрипт
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\syspanel32.exe',''); DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys'); DeleteService('ati4flxx'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог Gmer
Карантин выслан, спасибо, гмер не грузица, превышен лимит вложений.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спустя пару часов проблема всплыла опять, посмотрите пожалуйста логи.
Последний раз редактировалось maxi s; 23.10.2010 в 19:12.
- Сохраните текст ниже как 1.bat в ту же папку, где находится o7m4ohbp.exe (GMER) и запустите этот батник(1.bat):
Компьютер перезагрузится.Код:o7m4ohbp.exe -del service gfazzi o7m4ohbp.exe -del file "C:\WINDOWS\system32\rcotqw.dll" o7m4ohbp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gfazzi " o7m4ohbp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gfazzi " o7m4ohbp.exe -reboot
После перезагрузки:
2.Выполните скрипт в AVZ в безопасном режиме
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\syspanel32.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe',''); DeleteService('ati4flxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe'); DeleteFile('C:\WINDOWS\system32\syspanel32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_DeleteSvc('ati4flxx'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Все сделал, проблема осталась
Последний раз редактировалось maxi s; 23.10.2010 в 19:12.
C:\Администратор.exe - это что за файл?
C:\3w2lqkh5.exe - это gmer?
Сделайте лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалите в МВАМ все, кроме
Код:Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
лог MBAM повторите
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\главное меню\программы\автозагрузка\monoca32.exe - Rootkit.Win32.Agent.bijs ( DrWEB: Trojan.Botnetlog.478, BitDefender: Backdoor.Generic.412084, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\fb2f337e.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.MulDrop.64715, BitDefender: Gen:Variant.Zbot.15 )
- c:\windows\system32\syspanel32.exe - Trojan-Banker.Win32.Fibbit.y ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@amZceDb, AVAST4: Win32:Malware-gen )
- c:\windows\system32\6f9d12af.exe - Backdoor.Win32.Shiz.gen ( DrWEB: BackDoor.Siggen.25758, BitDefender: Trojan.Dropper.TON, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) maxi s, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.