-
Junior Member
- Вес репутации
- 51
Пропадает экран выбора режима утилиты Dr.Web CureIt (2)
Здравствуйте! Возвращаюсь опять к своей теме по этой ссылке
http://virusinfo.info/showthread.php?t=85998
Прошёл день и опять та же проблема вернулась. Утилита так и зависает, запускается только через девять раз на десятый, экран утилиты так и пропадает, ноут притормаживает, в диспетчере задач процесс iexplore.exe чаще всего отображается в четырёх экземплярах (два из них после блуждания по сети растут до приличных размеров) и ati2exx.exe в двух (раньше такого не замечала). Попробовала перенастроить службы, не помгло, возможно хуже только сделала. Посмотрела журнал событий, иногда ругается на групповую политику. Заглянула в редактор реестра (не трогала ничего! только посмотрела!) и нашла вот такую абра-кадабру:
http://s58.radikal.ru/i161/1008/b7/33be9d0ffbed.png
Просканировала в безопасном режиме Dr.Web CureIt, вирусы не найдены. Помогите, пожалуйста, разобраться с лечением, реестром и настройкой служб.
Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 51
-
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
C:\WINDOWS\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
повторите лог
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
Здравствуйте. В работе компьютера ничего не изменилось. Экран выбора режима утилиты так и пропадает, процесс висит в диспетчере и не завершается.
Когда открываю Internet Explorer, то в диспетчере задач появляется сразу два процесса iexplore.exe (пока писала сообщение их стало 4). Почему так?
В реестре сейчас вот такая ситуация:
http://s45.radikal.ru/i110/1008/7c/4ee229654431.png
Папка SOFTWARE содержит папку с номером 8322898. Это так и должно быть?
http://i072.radikal.ru/1008/51/94cc96a568d2.png
И ещё есть две папки Winlogon и winlogon. Так может быть?
http://s004.radikal.ru/i207/1008/ee/ab83508a0efa.png
-
Junior Member
- Вес репутации
- 51
Совсем вы меня бросили. А у меня раздвоение продолжается. Так и преследуют меня два процесса iexplore.exe при открытии одной страницы. Они плодят кучу временных файлов, которая не всегда вычищается. Такое впечатление, что меня в компьютере обе-две. Караул! Спасайте!
На всякий случай логи сделала.
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ykuvey.exe','');
DeleteFile('C:\WINDOWS\system32\ykuvey.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','usrint');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте такие же скрины, но теперь winlogon откройте, чтобы посмотерть что там.
Последний раз редактировалось olejah; 04.09.2010 в 14:56.
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
-
Что-нибудь произошло в лучшую сторону?
-
-
Junior Member
- Вес репутации
- 51
Трудно сказать, но такое впечатление, что практически ничего не изменилось. Процессов так два и светится в диспетчере, временные файлы так же плодятся. Может это прольёт свет на ситуацию?
http://s55.radikal.ru/i148/1009/39/3110ff125142.png
http://s003.radikal.ru/i201/1009/f2/f696f9d7799a.png
Ой, их даже три сейчас...
-
Сообщение от
Туся2
А причём здесь скриншоты редактора реестра?
-
-
Проверьтесь так - http://support.kaspersky.ru/faq/?qid=208636926, лог приложите сюда -
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
-
-
Junior Member
- Вес репутации
- 51
Venus Doom
Логи-то нормальные, чистые, и вроде уже лечили два раза, а траблы с компом продолжаются, вот и начинаешь искать причину и к каждой мелочи присматриваться. Тут недавно была ветка, тоже кто-то обратился за помощью после лечения точно такого трояна. Этот троян тоже пошуровал в реестре. Значит, будут ещё у кого-то такие проблемы. Проще конечно переустановить винду, но у нас дома второй комп с точно такими же симптомами после этого же трояна. Могли с флешкой перетащить или со съёмным.
Olejah
Спасибо, что не отказываете в помощи. Всё сделаю как скажете.
зы: руки совсем опустились...
-
Сообщение от
Туся2
Venus Doom
Логи-то нормальные, чистые, и вроде уже лечили два раза, а траблы с компом продолжаются, вот и начинаешь искать причину и к каждой мелочи присматриваться. Тут недавно была ветка, тоже кто-то обратился за помощью после лечения точно такого трояна. Этот троян тоже пошуровал в реестре. Значит, будут ещё у кого-то такие проблемы. Проще конечно переустановить винду, но у нас дома второй комп с точно такими же симптомами после этого же трояна. Могли с флешкой перетащить или со съёмным.
Просто на скриншотах нет полезной информации. Там ключи реестра от MS Office
-
-
Junior Member
- Вес репутации
- 51
Venus Doom
Я ж "чайник", поэтому спрашиваю. Была б умна, вопросов не было бы. Извините, лишней информацией грузить больше не буду.
Olejah
Утилита говорит, что всё нормально, ничего зловредного и подозрительного.
А давайте сделаем так: не закрывайте пока тему, а я понаблюдаю несколько дней за работой компа и если что, отпишусь?
-
Сообщение от
Туся2
А давайте сделаем так: не закрывайте пока тему, а я понаблюдаю несколько дней за работой компа и если что, отпишусь?
Хорошо
-