Компютер у коллеги дико тормозит, все приложения выполняются оч.медленно, проверка антивирусом не выявляет никаких вирусов.
Направляю файлы согласно "правилам".
Printable View
Компютер у коллеги дико тормозит, все приложения выполняются оч.медленно, проверка антивирусом не выявляет никаких вирусов.
Направляю файлы согласно "правилам".
[B]Отключите восстановление системы![/B]
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
QuarantineFile('C:\WINDOWS\system32\PRTmate.dll','');
DeleteFile('C:\WINDOWS\system32\svchоst.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12015[/url]
Базы AVZ надо обновить.
Карантин выслал, AVZ обновил
Повторите логи,есть какие-нибудь изменения в состоянии компьютера?
файл [B]PRTmate.dll [/B]- чистый
Компьютер заметно меньше стал тормозить... направляю вам повторно логи. При выполнении AVZ стандартного скрипта №3 выскочили вот такие сообщения:
----
Функция NtCreateKey (29) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D462DF
>>> Функция воcстановлена успешно !
Функция NtDeleteKey (3F) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D462F3
>>> Функция воcстановлена успешно !
Функция NtDeleteValueKey (41) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D4631F
>>> Функция воcстановлена успешно !
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D462CB
>>> Функция воcстановлена успешно !
Функция NtRenameKey (C0) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D46309
>>> Функция воcстановлена успешно !
Функция NtSetValueKey (F7) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D46335
>>> Функция воcстановлена успешно !
Функция NtTerminateProcess (101) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D4634B
>>> Функция воcстановлена успешно !
---
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\mfehidk.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
Странное дело... после выполнения скрипта в карантине не оказалось требуемого файла, т.е. карантин пуст. :?
Значит надо повторить его в Safe Mode.
Скорее всего этот файл принадлежит Daemon Tools и как выяснилось, может конфликтовать с установленным у вас антивирусом McAffee ([B]Numb[/B], спасибо за info). Рекомендуется либо удалить Daemon Tools, либо сменить антивирус.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]