После входа в систему и сидения в интернете примерно полчаса-час, загрузка ЦП мгновенно становится примерно 60-97%.
Printable View
После входа в систему и сидения в интернете примерно полчаса-час, загрузка ЦП мгновенно становится примерно 60-97%.
Скачайте ещё раз AVZ и обновите базы. Повторите логи.
[quote]Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/quote]
Прежде чем делать новые логи, выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\TEMP\*.*');
DeleteFile('D:\WINDOWS\system32\*.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
(последует перезагрузка).
сделано.
[quote]Внимание !!! База поcледний раз обновлялась 30.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/quote]Не похоже :(
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\TEMP\xra11.tmp','');
QuarantineFile('d:\windows\system32\ati2evxx.exe','');
DeleteFile('d:\windows\system32\ati2evxx.exe');
DeleteFile('D:\WINDOWS\TEMP\xra11.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи. Очистите кэш IE.
этот скрипт полнее:
Выполните скрипт в AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\TEMP\xra11.tmp','');
QuarantineFile('D:\WINDOWS\system32\13.tmp','');
QuarantineFile('D:\WINDOWS\system32\58.tmp','');
QuarantineFile('D:\WINDOWS\system32\8.tmp','');
QuarantineFile('D:\WINDOWS\system32\A.tmp','');
DeleteFile('D:\WINDOWS\TEMP\xra11.tmp');
DeleteFile('D:\WINDOWS\system32\13.tmp');
DeleteFile('D:\WINDOWS\system32\58.tmp');
DeleteFile('D:\WINDOWS\system32\8.tmp');
DeleteFile('D:\WINDOWS\system32\A.tmp');
BC_ImportQuarantineList;
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'virusinfo_10001_quarantine.zip');
RebootWindows(true);
end.
[/code]
Прикрепите пожалуйста файл boot_clr.log из папки авз к вашему следующему сообщению.
Загрузите файл virusinfo_10001_quarantine.zip из каталога AVZ через форму:[url]http://virusinfo.info/upload_virus.php?tid=10001[/url]
P.S. Сделайте новые логи по правилам после этого.
вроде все. Лога как сказал drongo в папках авз(авз и авз/лог) не оказалось...
Результат загрузки
Файл сохранён как 070525_150651_virus_4656c34b696d7.zip
Размер файла 498399
MD5 21ebc491b15c210dec2cfd4fd93e8ee0
Файл закачан, спасибо!
это карантин.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteFile('D:\WINDOWS\system32\15.tmp');
BC_Activate;
RebootWindows(true);
end.[/CODE]Почему Вы не хотите обновить базы AVZ?
потому что пишет Обновление Базы не требуется, ё-моё :)
Проблема решена?
если появится опять - апну топик... еще не просидел час :)
появилось
Загрузка процессора не показатель. Может антивирус что-то проверяет...
[QUOTE]Hello,
avz00001.dta - Email-Worm.Win32.Locksky.bf,
avz00002.dta - Email-Worm.Win32.Locksky.bf,
avz00003.dta - Email-Worm.Win32.Locksky.bf,
avz00004.dta - Email-Worm.Win32.Locksky.bf,
avz00005.dta - Email-Worm.Win32.Locksky.bf,
avz00006.dta - Virus.Win32.Parite.b,
avz00007.dta - Email-Worm.Win32.Zhelatin.du
These files are already detected. Please update your antivirus bases.
avz00008.dta
No malicious code was found in this file.
Please quote all when answering.
--
Best regards, Roman Gavrilchenko
Virus analyst, Kaspersky Lab.
e-mail: [email][email protected][/email]
[url]http://www.kaspersky.com/[/url]
[url]http://www.kaspersky.com/virusscanner[/url] - free online virus scanner.
[url]http://www.kaspersky.com/helpdesk.html[/url] - technical support.
> Attachment: 070525_150651_virus_4656c34b696d7.zip
> VirusInfo Из темы [url]http://virusinfo.info/showthread.php?t=10001[/url]
> 070525_150651_virus_4656c34b696d7.zip
> 8
_______________________________________________
Suspected mailing list
[email][email protected][/email]
[url]http://mail.virusinfo.info/mailman/listinfo/suspected_virusinfo.info[/url][/QUOTE]
По ответу из ЛК один из файлов карантина - файловый вирус Virus.Win32.Parite.b (см.выше)
Это описание его коллеги с буковкой а, написано, что действует точно также.
[QUOTE]The virus consists of a dropper, which is witten in assembler, and the virus part itself, written in Borland C++.
When an infected file is launched, the control flow is passed to the virus dropper, which writes the virus to a temporary file and executes its infection procedure.
The virus searches for Win32 EXE PE files with .scr and .exe extensions on all logical drives of computer, and also in shared resources of local network, and infects them.
The virus doesn't manifest itselfs presence in any way.
The structure of infected file looks like this:
Host file
Virus
dropper - drops "main" to TEMP dir and executes it.
main - searches for files and infects them, e.t.c. [/QUOTE]
Основное из описания - заражает исполняемые файлы, причем и по сетке.
Методика проверки - Грузится с CD, проверять Cure-It от Dr.Web,
либо проверять винчестер на другой машине.
З.Ы. Извините, если много скопировал.
@ Orachin Обрати внимание на тему.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\a.tmp - [B]Email-Worm.Win32.Locksky.bf[/B] (DrWEB: Trojan.Proxy.1737)[*] d:\\windows\\system32\\kernels32.bak - [B]Email-Worm.Win32.Zhelatin.du[/B] (DrWEB: Trojan.Packed.124)[*] d:\\windows\\system32\\13.tmp - [B]Email-Worm.Win32.Locksky.bf[/B] (DrWEB: Trojan.Proxy.1737)[*] d:\\windows\\system32\\15.tmp - [B]Email-Worm.Win32.Locksky.bf[/B] (DrWEB: Trojan.Proxy.1737)[*] d:\\windows\\system32\\58.tmp - [B]Email-Worm.Win32.Locksky.bf[/B] (DrWEB: Trojan.Proxy.1737)[*] d:\\windows\\system32\\8.tmp - [B]Email-Worm.Win32.Locksky.bf[/B] (DrWEB: Trojan.Proxy.1737)[*] d:\\windows\\temp\\xra11.tmp - [B]Virus.Win32.Parite.b[/B] (DrWEB: Win32.Parite.2)[/LIST][/LIST]