-
Junior Member
- Вес репутации
- 67
Стал глючить компьютер после установки DrWeb
Вчера ставил на компьютер DrWeb 5.0
Поставил, но регистрироваться он не хотел. Сайт вебера был недоступен, хотя другие сайты открывались.
Я прошелся avz, удалил через avz-поиск файлов: sysdate.exe (с корзинного каталога) и csrcs.exe (с папки виндоуз/сустем32), ну и мастером поиска и устранения проблем поудалял все средней тяжести проблемы.
После этого сайт вебера стал доступен, антивирус активировался.
Но на следующее утро при первом включении не запускался рабочий стол, только обои виднелись, а после перезагрузки комп стал просто перезагружаться.
Я сделал восстановление с установочного диска, сейчас запускается, только жутко тормозит. Логи сделать сейчас тяжело. Прикрепляю вчерашние логи avz и сегодняшний лог hijack, сделанный в безопасном режиме.
Последний раз редактировалось JaneYa; 09.04.2011 в 22:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-CF9E9303.EXE','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8198446319-2338875547-791076299-6852\sysdate.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8198446319-2338875547-791076299-6852\sysdate.exe');
DeleteFile('C:\WINDOWS\system32\XP-CF9E9303.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 67
Новый карантин не появился.
Отправил со старого.
Стандартные логи сделал.
Gmer зависает при сканировании, пока не сделал.
Последний раз редактировалось JaneYa; 09.04.2011 в 22:10.
-
Пробуйте сделать лог gmer в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 67
Пробовал. Сделал.
Однако, сохранить не смог.
Там в безопасном режиме низкое (минимальное) разрешение, которое не позволяет увеличить окно жмера так, чтоб была доступна кнопка "Save".
И другие (более точечные) режимы не доступны.
В gmer есть какие-нибудь горячие клавиши для сохранения отчета?
-
Попробуйте такую версию gmer http://iron-monk.ru/SOFT/1.0.15.15530.rar
(Переработан Iron Monk)
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 67
Последний раз редактировалось JaneYa; 09.04.2011 в 22:10.
-
1. Откройте Блокнот и скопируйте в него текст скрипта
Код:
zlu7msmv.exe -del service tzzhoox
zlu7msmv.exe -del file "C:\WINDOWS\system32\qevnnsjm.dll"
zlu7msmv.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tzzhoox"
zlu7msmv.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tzzhoox"
zlu7msmv.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tzzhoox"
zlu7msmv.exe -reboot
2. Нажмите Файл - Сохранить как
3. Выберите ту папку, где находится zlu7msmv.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer из обычного режима.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 67
Сделал скрипт.
В обычном режиме не дорабатывает до конца gmer. Полдня висел на C:\Windows\system32\drivers\intelide.sys. Потом я перегрузил, и побробовал в безопасном режиме. Там он тоже завис, но на \Device\Ide\IdeDeviceP1T0L0-e
Так что ни там, ни там лога не получается.
-
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 67
Последний раз редактировалось JaneYa; 09.04.2011 в 22:10.
-
Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 67
Последний раз редактировалось JaneYa; 09.04.2011 в 22:10.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 67
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\qevnnsjm.dll - Trojan-Downloader.Win32.Kido.bu ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] )
-