Printable View
Здраствуйте, после загрузки виндовса комп работает нормально где-то пол часа, потом процес winlogon.exe загружает ЦП на 100%, проверил на вирусы антивир кучу поймал но думаю что то осталось. Виндовс переустанавливать нельзя(
Пожайлуста посмотрите логи
1. Почему базы avz не обновили перед созданием логов?
2. System Restore- отключить, даже сейчас видно что там гадость собралась.
3.выполните скрипт @ avz:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\Rtss\rtdll\PCL-841.rtdll','');
QuarantineFile('%fystemroot%\system32\svchost.exe','');
QuarantineFile('C:\Program Files\Ardence\RTX\bin\rtapi_w32.dll','');
QuarantineFile('C:\Program Files\Ardence\RTX\Bin\RtxServer.exe','');
QuarantineFile('C:\WINDOWS\Rtss\010\w32_dll.rtss','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('c:\cnc886\cnc886.exe','');
QuarantineFile('C:\WINDOWS\\System32\Drivers\Rtx_HalExt.SYS','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
пришлите карантин согласно приложения 3 правил.
4.в панеле управления программ деинсталировать Target Marketing Agency- это программа рекламно-шпионской направленности.
5. sp3 надо поставить и остальные заплатки, иначе замучаетесь лечить.
[COLOR=Red]Скачайте AVZ, который у меня в подписи и далее работайте только с ним![/COLOR]
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
1. Не могу выключить востановление системы
[img]http://savepic.ru/496259.jpg[/img]
2. Не могу скачать AVZ, есть другая ссылка?
[QUOTE=Linkin;372891]1. Не могу выключить востановление системы[/QUOTE]Оставьте пока.
[QUOTE=Linkin;372891]
2. Не могу скачать AVZ, есть другая ссылка?[/QUOTE][url]www.z-oleg.com/avz.exe[/url]
Выполнил скрипт, после перезагрузки система сразу стала работать лучше, вот логи
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('port135sik');
QuarantineFile('C:\System Volume Information\_restore{E1002DA2-CB5C-4C62-9BAF-550327B23526}\RP459\A0351091.exe:ext.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{E1002DA2-CB5C-4C62-9BAF-550327B23526}\RP461\A0363273.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
DeleteFile('C:\System Volume Information\_restore{E1002DA2-CB5C-4C62-9BAF-550327B23526}\RP461\A0363273.dll');
DeleteFile('C:\System Volume Information\_restore{E1002DA2-CB5C-4C62-9BAF-550327B23526}\RP459\A0351091.exe:ext.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('port135sik');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Отправил карантин, виндовз перестал висеть, логи
Вроде чисто... :) Системное восстановление сейчас отключить можете? Если Да -сделайте.
Сервис Пак 3 + последующие патчи когда ставить будем?
И еще вопрос: У Вас система на каком языке?
Системное востановление пишет тоже самое, откуда брать сп3? Система на английском языке. Спасибо за помощь, основная проблема устранена с подвисанием можно продолжать работать)
[QUOTE=Linkin;373325]откуда брать сп3?[/QUOTE]
С microsoft.com, вестимо: [url]http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]41[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\common files\target marketing agency\tmagent\tmagent.dll - [B]not-a-virus:AdTool.Win32.TMAagent.v[/B][*] c:\system volume information\_restore{e1002da2-cb5c-4c62-9baf-550327b23526}\rp459\a0351091.exe:ext.exe:$data - [B]Trojan.Win32.Inject.pxs[/B]( BitDefender: Gen:Trojan.Heur.P20708FDFDF )[*] c:\system volume information\_restore{e1002da2-cb5c-4c62-9baf-550327b23526}\rp461\a0363273.dll - [B]not-a-virus:AdTool.Win32.TMAagent.v[/B][*] c:\windows\system32\drivers\beep.sys - [B]Rootkit.Win32.Agent.idq[/B]( BitDefender: Backdoor.Rustock.NFE )[/LIST][/LIST]