Началось все с svchost постоянно загружен процесор на 100%, вроде так почикал немного но теперь чета грузит по 1 кило в 2сек, чистил килером руткитов от каспера и курейтом. в общем нид хелп , не нравятся мне ети красные надписи...
Printable View
Началось все с svchost постоянно загружен процесор на 100%, вроде так почикал немного но теперь чета грузит по 1 кило в 2сек, чистил килером руткитов от каспера и курейтом. в общем нид хелп , не нравятся мне ети красные надписи...
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\nmpar.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Generic Host for Win32 Services');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',3,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Логи повторите.
Файл с текстом пока не выполнил. Пока высылаю карантин.
ЗЫ. atapi.sys , sptd.sys, yucxblwe.sys удалял с помощью килера руткитов, итог , вылез синий экран, и система не грузилась после каждой перезагрузки , потом они восстановились...:O
Ну и зачем удалять системные файлы? Карантин не получен.
Да так разошелся под горячюю руку паполись))))))
карантин грузится
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Вот оно че выдало
Файл сохранён как 100814_162728_quarantine_4c668bb0981ef.zip
Размер файла 2057504
MD5 d137dd2bca38328d97012772d27f36f7
И вопрос .... ScanVuln.txt для выполнения подлючение к инету надо?
[QUOTE='V-p;688027']ScanVuln.txt для выполнения подлючение к инету надо?[/QUOTE]
нет не нужно
Авз лог. Говорит что комп дырко.:D
Закрывыйте уязвимости :)
за данный скрипт спасибо. половино уже закрыл. на остальное ругается так - у тя виндовс инсталер либо почти умер либо уже сдох, хотя возможно я ему кислород перекрыл гденить в службах ... в общем сейчас буду разбираться.
А по virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
зловреды есть.
C:\WINDOWS\System32\Drivers\a4xsrkb3.SYS это кто можеть быть, не демон тулс?
[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]
Выполнил 2 раз ScanVuln.txt, говорит что уязвимостей нет, лог я не нашел
[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]
Подскажите ктонибудь знающий
есть в папке виндвовс\
$hf_mig$
$NtServicePackUninstallIDNMitigationAPIs$
$NtServicePackUninstallNLSDownlevelMapping$
$NtUninstallKB958644$
$NtUninstallKB971468$
$NtUninstallKB975560$
и т.д.
это папки синим цветом и скрытые , я их хочу того.... не повлияет на работу винды?
[QUOTE='V-p;688061']C:\WINDOWS\System32\Drivers\a4xsrkb3.SYS это кто можеть быть, не демон тулс?[/QUOTE]
Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
[QUOTE='V-p;688061']есть в папке виндвовс\
$hf_mig$
...[/QUOTE]Для работы Windows они не нужны, но торопиться удалять их, я бы не советовал.
Что с проблемами?
Что с проблемами?[/QUOTE]
Да вроде как потише стало. не качает как 3 дня назад, либо накачался и отстал зараза, или он сгинул...
По поводу етого файла в подозрительных числится (spdr.sys), пытался удалить скриптами...восстанавливается
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Файл сохранён как 100815_202118_virusinfo_files_MASTER_4c6813fe946c5.zip
Размер файла 9028592
MD5 76ab58eecd530df9636362e6387d8b95
и порядка 20 файлов незакарантинилось по причине:
Ошибка карантина файла, попытка прямого чтения (spdr.sys)
Карантин с использованием прямого чтения - ошибка
[QUOTE='V-p;688564'] в подозрительных числится (spdr.sys), пытался удалить скриптами...восстанавливается[/QUOTE]Оставьте его в покое. Это проделки DAEMON Tools.
[QUOTE='CyberHelper;688566']Результаты обработки
Архив 100815_202118_virusinfo_files_MASTER_4c6813fe946c5 .zip, загружен 15.08.2010 20:30:27, размер 9028592 байт
Всего файлов: 18 (исполняемых 16), из них:
зловреды или опасные объекты: 0
подозрительные: 0[/QUOTE]
C:\WINDOWS\System32\Drivers\a4xsrkb3.SYS
с этим файлом конечно не понятно, так то на него не ругается...фиг с ним...
В обшем спасибо всем:), если симптомы появятся отпишу здесь
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]