-
Junior Member
- Вес репутации
- 49
вирусы на компьютере
офисный компьютер, система ХР, сидят за ним все подряд
после чистки авира все равно находит какие то вирусы, cure it ничего не находит, все запущенные процессы авира видит как подозрительные, периодически возникают какие-то глюки в системе, иногда пропадает сеть, иногда синий экран смерти
проанализируйте пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\x','');
QuarantineFile('C:\WINDOWS\system32\03.scr','');
QuarantineFile('\\Dis\ёлочки\Xmas.exe','');
QuarantineFile('C:\Documents and Settings\Irisha\vpyu.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
QuarantineFile('C:\WINDOWS\system32\puhetu.exe','');
QuarantineFile('C:\WINDOWS\system32\fedycysip.exe','');
DeleteService('raujgo9j0n');
DeleteService('f3u3aoalmts7oi');
DeleteService('dm6u1l94k');
QuarantineFile('C:\WINDOWS\system32\noujyboowib.exe','');
QuarantineFile('c:\windows\system32\ssqrm.exe','');
QuarantineFile('c:\documents and settings\irisha\Рабочий стол\ИРИНА\apiclock.exe','');
DeleteFile('c:\windows\system32\ssqrm.exe');
DeleteFile('C:\WINDOWS\system32\noujyboowib.exe');
DeleteFile('C:\WINDOWS\system32\fedycysip.exe');
DeleteFile('C:\WINDOWS\system32\puhetu.exe');
DeleteFile('C:\Documents and Settings\Irisha\vpyu.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\03.scr');
DeleteFile('C:\WINDOWS\system32\12.scr');
DeleteFile('C:\WINDOWS\system32\17.scr');
DeleteFile('C:\WINDOWS\system32\28.scr');
DeleteFile('C:\WINDOWS\system32\47.scr');
DeleteFile('C:\WINDOWS\system32\57.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 49
карантин прислал, после выполнения скрипта и перезагрузки выдало на экран "система была восстановлена после серьезной ошибки" не смотря на то, что восстановление системы отключено
повторные логи прилагаются
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\A.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\xbyulbph.sys','');
QuarantineFile('C:\WINDOWS\system32\x','');
DeleteFile('C:\WINDOWS\system32\x');
DeleteFile('C:\WINDOWS\system32\drivers\xbyulbph.sys');
DeleteFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\A.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegSearch('HKLM', '', 'A.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
SetAVZPMStatus(True);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Файл avz.log из папки с AVZ прикрепите. Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
после каждой перезагрузки комп выдает сообщение "восстановление после серьезной ошибки" каждый раз ссылается на какие то новые файлы из папки темп в локал сеттингс
до последнего скрипта вылетел в синий экран с ошибкой 0x0000008E
и еще что-то было написано про файл win32k.sys
-
Установите SP3(может потребоваться активация)+все последующие обновления
Повторите логи.
-
-
Junior Member
- Вес репутации
- 49
-
Второй карантин от вас не получен.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\A.tmp','');
DeleteFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\A.tmp');
DeleteFile('C:\WINDOWS\system32\33.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\aux_providor');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\aux_providor');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\aux_providor');
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
+ Сделайте лог MBAM
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
-
выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ssqrm.exe');
BC_DeleteFile('C:\WINDOWS\system32\ssqrm.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
-
-
Junior Member
- Вес репутации
- 49
комп периодически уходит в синий экран
коды ошибок
0x00000050
0x00000024
0x0000008e
-
Сообщение от
katter
комп периодически уходит в синий экран
коды ошибок
0x00000050
0x00000024
0x0000008e
Это проблемы с железом, скорее всего - с оперативкой.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
оператива новая две гиговых плашки, щас поменяю на какие нить другие, поставлю на мониторинг
-
Сообщение от
katter
оператива новая
Может просто контакты грязные - почистите ластиком, спиртом протрите...
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ssqrm.exe - Net-Worm.Win32.Kolab.nba ( DrWEB: Trojan.AVKill.3136, BitDefender: Trojan.Generic.6859116, AVAST4: Win32:VB-YLY [Trj] )
- c:\\windows\\system32\\03.scr - Net-Worm.Win32.Kolab.nba ( DrWEB: Trojan.AVKill.3136, BitDefender: Trojan.Generic.6859116, AVAST4: Win32:VB-YLY [Trj] )
- c:\\windows\\system32\\33.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.14741, BitDefender: Trojan.Generic.KDV.74406, AVAST4: Win32:AutoRun-BRP [Trj] )
-