Дорогие Хелперы!
За последние дни комп тормозит вплоть до торможения мыши. Нашел неопознанный даже гуглом файл - vnkkx6.exe (см. логи) - пока не убрал, жду рекомендаций.
Заранее спасибо.
Printable View
Дорогие Хелперы!
За последние дни комп тормозит вплоть до торможения мыши. Нашел неопознанный даже гуглом файл - vnkkx6.exe (см. логи) - пока не убрал, жду рекомендаций.
Заранее спасибо.
Отключить восстановление системы, защитное ПО.
Профиксить:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\vnkKX6M.exe,
[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\OemF0211.sys','');
QuarantineFile('C:\WINDOWS\system32\wb9967.dll','');
QuarantineFile('C:\WINDOWS\help\wizard.hta','');
QuarantineFile('\\?\globalroot\systemroot\system32\vnkKX6M.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\vnkKX6M.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи переделать.
Спасибо большое за помощь!!!
Прилагаю логи.
Добрый день,
Кто-то просмотрел повторные логи.
Можно узнать результат?
[QUOTE]Система загружена в режиме защиты от сбоев (SafeMode)
[/QUOTE]
Сделайте логи в обычном режиме.
Жалобы есть?
прошу прощения - есть промежуточный вопрос -
я запустил сканирование в обычном режиме, забыв отключить антивирус, который выдал сообщение, что есть серьезные уязвимости....
file:C:\Documents and Settings\SCH\Local Settings\Temporary Internet Files\Content.IE5\V5ERPUZN\WVcNGMttCSiH8Df[1].exe
file:C:\DOCUME~1\SCH\LOCALS~1\Temp\avz_3804_raw.tmp
проигнорировать сообщения и отключить антивирус для нормального сканирования?
получены новые логи в обычном режиме
в принципе, бесконечное зависание прекратилось, но периодически все-таки торможения случаются.
жду вашего анализа
спасибо.
дорогие хелперы,
microsoft essential ругается, что есть вирус Meredrop -
file:C:\Documents and Settings\SCH\Local Settings\Temporary Internet Files\Content.IE5\V5ERPUZN\WVcNGMttCSiH8Df[1].exe
и это после лечения (микрософтом) и выполнения логов.
как поступить??
Сделайте лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
пригалаю (вроде ничего не найдено)
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\SCH\Local Settings\Temporary Internet Files\Content.IE5\V5ERPUZN\WVcNGMttCSiH8Df[1].exe','');
DeleteFile('C:\Documents and Settings\SCH\Local Settings\Temporary Internet Files\Content.IE5\V5ERPUZN\WVcNGMttCSiH8Df[1].exe');
DeleteFileMask('C:\Documents and Settings\SCH\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
скрипты выполнил и прилагаю логи.
замечание: антивирус удалил отмеченный файл (режим автоматического лечения), поэтому, мне кажется, что карантин его сомнителен.
спасибо за помощь.
есть еще какие-либо опции лечения? (периодически случаются торможения, вплоть до подвисания мышки)
(прошу прощения... - не заметил про лог AVZ - после скана сразу прикреплю)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
- поставте [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader 9.3[/URL] или удалите старый.
спасибо! поставил все обновления.
буду благодарен, если есть дополнительные советы и рекомендации.
можете посмотреть [URL="http://security-advisory.virusinfo.info/"]тут[/URL]
спешу сообщить, что после установки указанных обновлений и рестарта система работает шустро (тьфу-тьфу), как не работала уже давно.
сердечное спасибо за помощь!!!
Дорогие Хелперы!
В автозапуске прописан C:\WINDOWS\system32\wb9967.dll, который я отправлял в карантине - как мне узнать, должен ли я удалить этот файл или нет?
Он не распознается AVZ как "свой" и соответственно может быть вирусным.
Ответа из вирлаба до сих пор нет
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\?\globalroot\systemroot\system32\vnkkx6m.exe - [B]Backdoor.Win32.Shiz.gen[/B][/LIST][/LIST]