Добрый день!
Компьютер оооочень тормозит, решил запустить проверку и обнаружил около 200 подозрительных файлов - что-то вылечилось, что-то удалилось. Проверьте пожалуйста логи.
Printable View
Добрый день!
Компьютер оооочень тормозит, решил запустить проверку и обнаружил около 200 подозрительных файлов - что-то вылечилось, что-то удалилось. Проверьте пожалуйста логи.
1. Пожалуйста, выполните скрипт AVZ:
[CODE]
begin
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll', 'CHQ=G');
QuarantineFile('spmh.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_IdeChnDr.sys', 'CHQ=N');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Accessibility\3b18bc1f112dab40bc5f538e5f2caccf\Accessibility.ni.dll', 'CHQ=G');
QuarantineFile('C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\b14b084f03478140a1d360c4df8808ef\System.Configuration.ni.dll', 'CHQ=G');
QuarantineFile('C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\dc9315d31f941f4381caeb05d6ac0b81\System.Drawing.ni.dll', 'CHQ=G');
QuarantineFile('C:\WINDOWS\System32\mswsock.dll', 'CHQ=G');
QuarantineFile('C:\WINDOWS\system32\rsvpsp.dll', 'CHQ=G');
QuarantineFile('C:\WINDOWS\assembly\GAC_MSIL\CLI.Aspect.ALICrossfire.Graphics.Shared\2.0.3246.34351__90ba9c70f846762e\CLI.Aspect.ALICrossfire.Graphics.Shared.dll', 'CHQ=G');
QuarantineFile('C:\WINDOWS\assembly\GAC_MSIL\CLI.Aspect.MultiVPU4.Graphics.Shared\2.0.3246.34348__90ba9c70f846762e\CLI.Aspect.MultiVPU4.Graphics.Shared.dll', 'CHQ=G');
QuarantineFile('C:\WINDOWS\assembly\GAC_MSIL\CLI.Aspect.PowerXpress.Graphics.Shared\2.0.3246.34448__90ba9c70f846762e\CLI.Aspect.PowerXpress.Graphics.Shared.dll', 'CHQ=G');
QuarantineFile('C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe', 'CHQ=G');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_IdeChnDr.sys');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить [URL]http://virusinfo.info/index.php?page=uploadclean[/URL]
Скипт выполнен.Карантин загружен.
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
QuarantineFile('C:\RECYCLER\S-1-5-21-0559569008-1086621074-027530648-1687\winncr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0559569008-1086621074-027530648-1687\winncr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
Новые логи
1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\cidrive32.exe','');
DeleteFile('C:\WINDOWS\cidrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('F:\autorun.inf');
DeleteFileMask('C:\Program Files\AskBarDis', '*.*', true);
DeleteDirectory('C:\Program Files\AskBarDis');
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Новые логи. Карантин загружен.
В логах зловредов не видно. Обновите Internet Explorer до [B]8[/B] версии
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]