Printable View
Здравствуйте. В начале декабря подхватила вирус-требовал отправку смс и запускался отсчёт времени. Не запускались никакие *.exe-приложения и диспетчер задач. После установки второй винды избавилась от вируса. Через день появился баннер plagin.exe, удалила. Теперь загружается процесс svchost.exe, который занимает память процессора. Помогите, пожалуйста.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('mssrvc');
QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mssrvc.sys');
QuarantineFile('CC:\WINDOWS\system32\uubai.dlls','');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('mssrvc');
SetAVZPMStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"][COLOR=#0532aa]Правил (Приложение 3)[/COLOR][/URL] - когда я [B]запускаю [/B]AVZ, из меню "Файл" -> "Просмотр карантина", там пусто.
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\uubai.dll','');
DeleteFile('C:\WINDOWS\system32\uubai.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]AVZ[/B] => [B]Файл[/B] => [B]Мастер поиска и устранения проблем[/B]. Категория - "[B]Системные проблемы[/B]", степень опасности - "[B]Все проблемы[/B]". Нажмите "[B]Пуск[/B]". Всё найденное следует пометить и пофиксить
Сделайте новые логи.
Новые логи.
Пофиксите в HijackThis:
[code]
O20 - AppInit_DLLs: C:\WINDOWS\system32\uubai.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\Program Files\LeechLLC:mstorr.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=64026[/url]).
Повторите лог syscure (п.1 раздела Диагностика).
Карантин прислала.
Лог выполнила.
В логах чисто. Что с проблемами?
Во вложении print screen диспетчера файлов. Проц загружен на 97%. Проблема та же.
[URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог с помощью GMER.[/URL]
[I]gmer.log[/I]
Сделать лог не получается. При запуске вылетает ошибка.
gmer.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Сведения об ошибке:
AppName: gmer.exe
AppVer: 1.0.15.15281
ModName: gmer.exe
ModVer: 1.0.15.15281
Offset: 0005c887
Выгружайте все защитные приложения при запуске гмер! Если ошибка повториться, попробуйте сделать лог из безопасного режима.
Извините, но ничего не получилось...
Выгрузила все защитные приложения, та же ошибка. В безопасном режиме тоже ошибка.
Попробуем так. Временно деинсталлируйте DAEMON Tools. Сделайте лог гмер, скачав с сайта [url]http://www.gmer.net/[/url] утилиту со случайным именем.
Получилось. Спасибо за совет. Лог с помощью gmer во вложении :wink_3:
В логе ничего вредоносного не обнаружено.
gjf, snifer67, Bratez, миднайт, спасибо Вам!
Думаю, тему можно закрыть :biggrin:
Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние [URL="http://update.microsoft.com"]обновления системы Windows[/URL] и используемых программ. И вообще, постарайтесь выполнить все советы, [URL="http://virusinfo.info/showthread.php?t=30339"]указанные здесь[/URL] - это максимально отдалит время нашей следующей с Вами встречи :)