-
Junior Member
- Вес репутации
- 51
Создание новых учётных записей и лаги
Добрый день,
Совсем недавно у вас лечился,и вот опять двадцать пять.
Суть : Сначало комп завис,а при перезагрузки я обнаружил новых пользователей. Один с каким-то набором символов,а другой - aadmin(именно 2 А) Я их конечно удалил,но лаги остались. по непонятным причинам закрываются приложения,и сбиваются настройки.
Надеюсь на вашу помощь
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Профиксите в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
O2 - BHO: [email protected] - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\setup.exe','');
QuarantineFile('C:\Temp\cpuz130\cpuz_x32.sys','');
DeleteService('cpuz130');
QuarantineFile('Dmhfsnwmnm.sys','');
DeleteService('Dmhfsnwmnm');
DeleteFile('Dmhfsnwmnm.sys');
DeleteFile('C:\Temp\cpuz130\cpuz_x32.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Карантин отправлен,и еще только сейчас заметил процесс - wuaucldt.exe,раньше его не наблюдал
Последний раз редактировалось Dmitrys_chel; 07.02.2011 в 15:41.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\setup.exe');
DeleteFile('%windir%\Tasks\Microsoft_Hardware_Launch_setup_exe.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Заражённые папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
Заражённые файлы:
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
Проблема исчезла,благодарю за помощь!
П.С Уже 3 раз у вас лечусь,и всегда оперативно помогаете решит проблема,спасибо
-
Dmitrys_chel, отключите востановление системы и можете сразу же включить обратно (нужно чтоб удалить возможные вирусы в System Volume Information)/
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Последний раз редактировалось Bratez; 09.02.2011 в 16:52.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
regist
Dmitrys_chel, отключите востановление системы и можете сразу же включить обратно (нужно чтоб удалить возможные вирусы в System Volume Information)/
- Откройте файл
ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Облазил всё что можно. Но не нашёл как отключить функцию восстановления. И Читал темы у вас в ЧаВо. Но у меня попросту там нет вкладки - Восстановление Системы
И в панели управления тоже нету,и в стандартных. И ваще нигде.
И способом из ВикиПедии пользовался,но опятьже ничего не получилось. При попытки запустить "Справка и Поддержка" она жалуется на недостаток файла(ну это у меня такая Винда,корявая мягко говоря. Постоянно жалуется на недостаток разных DLL и приходится их выкачивать из интернета,может что-то посоветуете и по этому поводу?)
Последний раз редактировалось Dmitrys_chel; 09.02.2011 в 19:33.
-
Сообщение от
Dmitrys_chel
Постоянно жалуется на недостаток разных DLL и приходится их выкачивать из интернета,может что-то посоветуете и по этому поводу?)
вставить в CD-Room диск с аналогичным сервис паком и локализацией (языком).
потом выполнить:
Пуск - Выполнить - sfc /scannow
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения вредоносные программы в карантинах не обнаружены
-