Гляньте логи, пожалуйста.
Printable View
Гляньте логи, пожалуйста.
[b]Восстановление системы отключить.[/b]
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.exe','');
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('E:\autorun.wsh','');
DelBHO('{468CD8A9-7C25-45FA-969E-3D925C689DC4}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\WINDOWS\system32\nxxd.pio','');
QuarantineFile('.sys','');
DeleteFile('C:\WINDOWS\system32\nxxd.pio');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('E:\autorun.wsh');
DeleteFile('C:\autorun.wsh');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
Сделано.
Забыл уточнить, что предыдущие логи делались из безопасного. Нормальной загрузки не мог дождаться.
Теперь делал из нормального режима и подключал интернет.
Загрузите карантин !
Там в карантине установка какой-то игрушки, "Веселая ферма 2" называется, и она тяжелая. Архив в 34Мб получился.
Я пока без него архив закачаю.
А перед ней закачан архив с 1м файлом авторана, который в нормальном режиме поместил в карантин скрипт №3.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 27 минут[/I][/B][/color][/size]
Архив с подозреваемым сетапом "Веселая ферма 2" лежит здесь [url]http://www.mediafire.com/?yeiy4znzzzu[/url] если нужно
Пофиксить в HijackThis
[code]
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,
[/code]
ПК перезагрузите.
Что с проблемой ?
Проблема не решена.
Система по прежнему долго грузится. Хотя по-моему, все же время сократилось.
При этом в процессе обращается к флэшке довольно активно, но каких-то подозрительных файлов я там не нашел. Ни с того компа, ни с условно здорового.
Любопытно, что АVZ находит какую-то папку RECYCLER и файлик авторана и еще несколько папок на диске С подписывает как прямое чтение. Но даже включив отображение скрытых файлов и папок я их не вижу.
Через HiJack я попробовал посмотреть процессы и ничего подозрительного не увидел.
Единственное, что характеризует этот комп, это обилие игрушек. Но они не будут так тормозить загрузку.
В понедельник буду гонять на нем все антивирусное, что у меня осталось. Если не придумаю ничего другого.
[QUOTE='Tritan;532354']АVZ находит какую-то папку RECYCLER[/QUOTE]Корзину почистите
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.exe','');
SetServiceStart('Nups', 4);
DeleteService('Nups');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
DeleteFile('C:\autorun.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделано + просканировал еще раз нодом с последними базами, он еще 19 штук понаходил. После чего первая загрузка была быстрой, а вторая опять подтормаживала.
Корзину-то я сразу почистил. Но ее содержимое не совпадает с тем, что находит avz. Как выяснилось, скрытые папки я не видел, потому что у меня не устанавливается флажок на их отображение.
Попробовал восстановить с помощью avz. Теперь флаг устанавливается, но папок все равно не видно. Любопытно, что названия файлов вполне вменяемые.
Прямое чтение C:\Documents and Settings\врлрррла - папка видна, но доступ к ней заблокирован. Среди пользователей такой учетной записи нет. Я под администратором.
Прямое чтение C:\RECYCLER - не видно. При очистке корзины, файлы указанные avz никуда не деваются.
Хозяин компьютера сказал, что ждать лечения не может и будет переустанавливать виндоус сам.
Наверное, я сделаю 4й скрипт и оставлю файлы для анализа. А пользователю объясню ситуацию и тут уж как он решит.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\nups.sys - [B]Trojan.Win32.Agent.dctm[/B] ( DrWEB: Trojan.Spambot.4728, BitDefender: Backdoor.Bot.110591, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\nxxd.pio - [B]Backdoor.Win32.Bredavi.azz[/B] ( DrWEB: BackDoor.Vbom.5, BitDefender: Trojan.Generic.2741687, NOD32: Win32/Oficla.AP trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]