Printable View
Доброго времени суток.
Начал тормозить набочий ноут. Решил пробежаться по нему CureIT-ом, вылетел в синьку. В безопасном режиме то же самое. Т.к ноут общедоступный, первые подозрения падают не на сбойную память, а все ж на вирей.
Логи в аттаче.
Заранее спасибо!
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\nifed.exe','');
QuarantineFile('D:\WINDOWS\system32\lyroum.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-3034709544-4555704980-768290403-6001\djwi2kcew.exe','');
QuarantineFile('D:\Documents and Settings\Odmin\fxmdk.exe','');
QuarantineFile('D:\Documents and Settings\LocalService\Application Data\Microsoft\hettoojoud.exe','');
QuarantineFile('D:\WINDOWS\system32\coummoo.exe','');
QuarantineFile('D:\WINDOWS\system32\goubyh.exe','');
QuarantineFile('D:\WINDOWS\system32\Drivers\ytwhwlbkw.sys','');
QuarantineFile('D:\WINDOWS\system32\luquij.exe','');
DeleteFile('D:\WINDOWS\system32\luquij.exe');
DeleteFile('D:\WINDOWS\system32\Drivers\ytwhwlbkw.sys');
DeleteFile('D:\WINDOWS\system32\goubyh.exe');
DeleteFile('D:\WINDOWS\system32\coummoo.exe');
DeleteFile('D:\Documents and Settings\LocalService\Application Data\Microsoft\hettoojoud.exe');
DeleteFile('D:\Documents and Settings\Odmin\fxmdk.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-3034709544-4555704980-768290403-6001\djwi2kcew.exe');
DeleteFile('D:\WINDOWS\system32\lyroum.exe');
DeleteFile('D:\WINDOWS\system32\nifed.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=100284[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
Карантин пуст, по-этому прилагаю только повторные логи + gmer
Вам понадобится любой загрузочный CD, позволяющий выполнять операции с файлами на жестком диске. С его помощью необходимо переместить или переименовать файл
[B]C:\WINDOWS\system32\Drivers\ytwhwlbkw.sys[/B]
После этого запустите снова свою систему и выполните скрипт в AVZ:
[CODE]begin
RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\ytwhwlbkw');
BC_DeleteSvc('ytwhwlbkw');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Переименованный или перемещенный файл запакуйте в zip-архив с паролем [I]virus[/I] и пришлите по ссылке для карантина (см. вверху темы). Сделайте новый лог по п.2 раздела [I]Диагностика[/I].
Извиняюсь за задержку с ответом, ноут рабочий - пошел по рукам, только сейчас снова за него взялся.
Карантина и на этот раз не будет.. Антивирус на здоровой машине быстренько определил ytwhwlbkw.sys как Trojan.Spambot и грохнул вместе с архивом.. Но за этот день, пока ноут был недоступен, на него набралась кучка новых вирей.. Лог syscheck прилагаю
После сканирования CureIt'ом надо перезагружать компьютер, прежде чем делать логи AVZ!
Сделайте лог заново, чтобы не было сомнений.
Готово.
Чисто.
Очень странно. Тормоза остались :(
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Прикрепляю лог.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]d:\documents and settings\Odmin\local settings\Temp\utt17.tmp.exe (Trojan.Pakes) -> No action taken.[/code]
Сделал. Тормоза все равно остались.. Вроде зловредов на компе уже нет, теперь остается грешить на 1) драйвера 2) на саму ось.