логи AVZ и hijack
Printable View
логи AVZ и hijack
Уважаемый(ая) [B]tushkan86rus[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B]tushkan86rus[/B], здравствуйте!
Запустите AVZ В меню [B]Файл--Выполнить[/B] скрипт, в окошко вставьте текст:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Владимир\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe','');
QuarantineFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','64');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
DeleteFile('C:\Users\Владимир\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe','32');
DeleteFileMask('C:\Users\Владимир\appdata\roaming\mediahit\', '*', true);
DeleteDirectory('C:\Users\Владимир\appdata\roaming\mediahit');
DeleteFileMask('C:\Users\18EE~1\AppData\Roaming\DIGITA~1\', '*', true);
DeleteDirectory('C:\Users\18EE~1\AppData\Roaming\DIGITA~1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/CODE]И нажмите [B]Запустить[/B]. Компьютер [U]перезагрузится[/U].
После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end. [/CODE]
Используйте ссылку "[B]Прислать запрошенный карантин[/B]", которая находится над первым сообщением темы, чтобы прислать [B]quarantine.zip[/B].
Запустите [B]HijackThis[/B] и нажмите [B]Do a System Scan Only[/B]. В окошке найдите и отметьте строчки (если присутствуют):
[CODE]O4 - HKCU\..\Run: [CMD] cmd.exe /c start http://extendedunlimited.org && exit[/CODE]
Нажмите кнопку [B]Fix checked[/B]
Подготовьте новый отчеты [B]AVZ и HijackThis[/B] + подготовьте отчет [B]AdwCleaner[/B] по инструкции: [URL]http://virusinfo.info/showthread.php?t=146192[/URL]
логи AVZ, hijack, advcleaner
В [B]AdwCleaner[/B] уберите флажки со следующих обнаруженных объектов:
[CODE]***** [ Файлы / Папки ] *****
C:\Program Files (x86)\Mail.Ru
C:\Users\Владимир\AppData\Local\Mail.Ru
C:\Users\Владимир\AppData\Local\MailRu
C:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru[/CODE]
и нажмите кнопку [B]Очистить.[/B]
Пожалуйста, сообщите в следующем сообщении, наблюдается ли проблема.
после повторного сканирования в adv мне ничего не обнаружило (не обнаружило никаких программ совсем)
Извините, не заметил, что Вы их уже удалили. Проблема по-прежнему наблюдается?
Какой процесс больше всего загружает ЦП?
Подготовьте отчет Malwarebytes Anti-Malware по инструкции: [url]http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657[/url]
да, загрузка ЦП хаотично колеблется от 15 до 60%
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
в процессах наблюдаю 4 процесса с названием conhost, все они 1 из них системный, остальные 3 local network, все 4 без описания
p.s. если вам это облегчит работу, то при выполнении некоторых начальных пунктов, где приходилось выключать интернет, работа ЦП почти нормализовывалась (колебания 1-4%)
[QUOTE]да, загрузка ЦП хаотично колеблется от 15 до 60%[/QUOTE]
Возможно, вам пригодится [URL="http://answers.microsoft.com/ru-ru/windows/forum/windows_7-performance/wmpnetwkexe/8b1d8bba-46fa-493e-bd1e-e72b71fda883"]вот эта информация[/URL].
[QUOTE=NickGolovko;1151788]Возможно, вам пригодится [URL="http://answers.microsoft.com/ru-ru/windows/forum/windows_7-performance/wmpnetwkexe/8b1d8bba-46fa-493e-bd1e-e72b71fda883"]вот эта информация[/URL].[/QUOTE]
Я не пользуюсь плеером виндовса, но если эта проблема касается других плееров, то возможно это мой случай
[QUOTE]Я не пользуюсь плеером виндовса,[/QUOTE]
Служба, однако, активна, и работает с сетью. Раз WMP вам не нужен, то ее можно спокойно отключить и посмотреть, будет ли результат.
странно, но ничего подобного я не нашел, из всего списка не нашел ничего похожего на Windows Media Player Network Sharing Service (извиняюсь, чуть ниже в той теме нашел ответ)
дождусь окончания скана anti malware и попробую отключить
Хорошо. Перезагрузитесь только после отключения, чтобы изменения вступили в силу.
anti-malware "встал" на предпоследней стадии проверки, дальше двигаться не желает, один файл проверяет больше 15 минут
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
отключение плеера не дало результатов
[QUOTE]отключение плеера не дало результатов[/QUOTE]
Ну тогда попробуйте все-таки получить лог МВАМ для дальнейших разбирательств.
переустановил виндовс без форматирования, нагрузка спала до, примерных, 20%, далее снял nvc(s?)streamer, который был процессом инвидиа и потреблял от 3 до 15% цп, и остановил "защитника виндовс", теперь цп "скачет" в районе 1-10%
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\владимир\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe - [B]not-a-virus:HEUR:Downloader.Win32.LMN.gen[/B][*] c:\users\18ee~1\appdata\roaming\digita~2\update~1\update~1.exe - [B]not-a-virus:AdWare.Win32.DealPly.y[/B] ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )[/LIST][/LIST]