с месяц назад началось притормаживание работы компьютера.
Printable View
с месяц назад началось притормаживание работы компьютера.
[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\dmboot.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ljhnlo.sys','');
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\ljhnlo.sys');
BC_ImportDeletedList;
BC_DeleteSvc('abp470n5');
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).
Подготовьте новый комплект логов.
Проверку с помощью[URL="http://freedrweb.com/"] CureIt[/URL] проводили?
[QUOTE=Белый Сокол;453861]
Проверку с помощью[URL="http://freedrweb.com/"] CureIt[/URL] проводили?[/QUOTE]
Да проводил. В безопасном режиме. Может после перезагрузки что-то захватилось. разинсталивал аваст и сканер Др веба. Чтоб поставить Др веб спайс секьюрить.
логи повторите.
подготовил логи и отослал карантин.
Выполните:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe','');
QuarantineFile('C:\WINDOWS\Temp\nsd1F.tmp\System.dll','');
QuarantineFile('C:\WINDOWS\Temp\nsd1F.tmp\registry.dll','');
QuarantineFile('C:\WINDOWS\Temp\nsd1F.tmp\newadvsplash.dll','');
DeleteFile('C:\WINDOWS\Temp\nsd1F.tmp\newadvsplash.dll');
DeleteFile('C:\WINDOWS\Temp\nsd1F.tmp\registry.dll');
DeleteFile('C:\WINDOWS\Temp\nsd1F.tmp\System.dll');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
ПК перезагрузится.
Карантин загрузите, логи повторите.
Выполнил скрипт правда registry.dll был уже не по адресу C:\WINDOWS\Temp\nsd1F.tmp\registry.dll а по : C:\WINDOWS\Temp\nsj20.tmp\registry.dll похоже переименовывается при каждом запускеё, его удалил вручную на всякий случай.
[QUOTE=Белый Сокол;453924]логи повторите.[/QUOTE] :)
Да за вами не успеешьё Только закончил создание логов.:)
Карантин пришел? А то я уже запутался отправлял или нет?
[QUOTE=Din_;453966]Да за вами не успеешь Только закончил создание логов.[/QUOTE]Не пишите ответ, пока не выполнили ВСЕ указания хелпера.
[URL="http://virusinfo.info/showthread.php?t=7660"]Очистите[/URL] файл [B]hosts[/B].
В карантин ни один из записанных в скрипт файлов не попал.
Жалобы есть?
C:\WINDOWS\Temp\nsd1F.tmp\newadvsplash.dll');
C:\WINDOWS\Temp\nsd1F.tmp\registry.dll');
C:\WINDOWS\Temp\nsd1F.tmp\System.dll');
в темпе появилась вот такая папочка:
c:\WINDOWS\Temp\nsg1B.tmp
Содержит:
c:\WINDOWS\Temp\nsg1B.tmp\newadvsplash.dll');
c:\WINDOWS\Temp\nsg1B.tmp\registry.dll');
c:\WINDOWS\Temp\nsg1B.tmp\System.dll');
c:\WINDOWS\Temp\nsg1B.tmp\FindProcDLL.dll
c:\WINDOWS\Temp\nsg1B.tmp\splash.jpg
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Папка каждую перезагрузку создается с новым именемё Если надо не буду перегружать чтоб "закарантинить" её полностью.
- Пролечитесь от файловых вирусов: [url]http://virusinfo.info/showthread.php?t=15927[/url]
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
Сделал лог GMER.ом
Файлы про которые писал выше создает Firefox portable 3.5.2
c:\WINDOWS\Temp\nsg1B.tmp\newadvsplash.dll');
c:\WINDOWS\Temp\nsg1B.tmp\registry.dll');
c:\WINDOWS\Temp\nsg1B.tmp\System.dll');
c:\WINDOWS\Temp\nsg1B.tmp\FindProcDLL.dll
c:\WINDOWS\Temp\nsg1B.tmp\splash.jpg
Так что зря переживал.
FindProcDLL plug-in Вы сами ставили? Если нет - удалите его и эта темп-папка тоже пропадет.
[url]http://nsis.sourceforge.net/FindProcDLL_plug-in[/url]
Поставил Firefox Rozentox. Он не создает таких файлов.
Жалобы есть? :)
[QUOTE]MSIE: Internet Explorer v7.00 (7.00.6000.21020)[/QUOTE]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/URL].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]