NOD32 находит [FONT="]BAT/KillFiles.NCB [/FONT] [FONT="]C:\WINDOWS\system32\fjhdyfhsn.bat
вроде изолирует его но процессор грузится на 50%(((
[/FONT]
Printable View
NOD32 находит [FONT="]BAT/KillFiles.NCB [/FONT] [FONT="]C:\WINDOWS\system32\fjhdyfhsn.bat
вроде изолирует его но процессор грузится на 50%(((
[/FONT]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\6b25a2ba.exe','');
QuarantineFile('C:\WINDOWS\system32\e3dc704.exe','');
QuarantineFile('csrss5.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\cpuz.sys','');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\e3dc704.exe');
DeleteFile('C:\WINDOWS\system32\6b25a2ba.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин по Правилам.
Сделать заново логи.
Пора уже давно Сервис Пак 3 ставить
Карантин выслал новые логи
после выполнения скрипта загрузка процессора стала нормальной после перезагрузки опять 50%((
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Лог RSIT
Профиксить:
[CODE]O20 - Winlogon Notify: Csrss - csrss5.dll (file missing)[/CODE]
Выполните скрипт:
[CODE]begin
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFileMask('C:\','NFT*.tmp',false);
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
скрипт выполнил новые логи
Лог RSIT повторите
Лог RSIT
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('ati1yfxx');
DeleteService('ati0gmxx');
DeleteService('ati1yfxx');
DeleteService('ati3ubxx');
DeleteService('ati4hnxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0gmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1yfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3ubxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4hnxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1msxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3yfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5otxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7dixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8kpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0gmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1msxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1yfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3ubxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3yfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4hnxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4pvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5otxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7dixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8kpxx.sys');
DeleteFileMask('C:\', 'Ntf*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
- Сделайте повторные лог RSIT
Скрипт выполнил логи RSIT
Если жалоб больше нет, то обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Все рекомендации выполнил производительность системы восстановлена спс))
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\e3dc704.exe - [B]Backdoor.Win32.Shiz.mq[/B] ( DrWEB: BackDoor.Siggen.25634, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\6b25a2ba.exe - [B]Trojan.Win32.Jorik.Shiz.br[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.cq0@aCYDq3gi, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )[/LIST][/LIST]