Какая-то "шляпа"

Printable View

22.10.2010, 14:39
Sash

Какая-то "шляпа"

Доброго дня!

Засела какая-то "зараза". Не дает запускать AVZ и прочее (переименование ничего не дает). CureIt запускается, но ничего не находит. Загружаясь под другой ОС все антивирусы ничего не находят.

Симптомы:
При загрузке процесс explorer.exe начинает быстро разрастаться в размере занимаемой памяти (до 700 Мб). Добавляются статические маршруты неизвестно куда, где шлюзом является мой компьютер.
AVZ можно запустить только когда "убиваешь" процесс explorer.exe. Поиск ничего не дает. В автозагрузке ничего подозрительного нет.

Подскажите варианты, пожалуйста.
22.10.2010, 14:59
DefesT

Здравствуйте. Сделайте лог [URL="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/URL]
22.10.2010, 15:53
Sash

В общем какими-то шаманскими действиями "оно" исчезло... ) Вопрос на долго ли?... Как вариант могло помочь восстановление системы через AVZ (файл/восстановление системы). Это я делал в последнюю очередь. После перезагрузки роуты не появились и explorer.exe не разрастался. AVZ можно было запустить только "убив" процесс explorer.exe.

Всем спасибо!
22.10.2010, 22:23
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::

File::
d:\windows\system32\z┤[А
d:\windows\system32\e3720554.exe
d:\windows\system32\rtrfkfg.exe
d:\documents and settings\uglov\├ыртэюх ьхэ■\╧ЁюуЁрьь√\└тЄючруЁєчър\chkntfs.exe
d:\windows\pss\chkntfs.exeStartup

Driver::

Folder::
d:\program files\Common Files\30015B02a

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="d:\windows\system32\userinit.exe,"
[-HKLM\~\startupfolder\D:^Documents and Settings^uglov^├ыртэюх ьхэ■^╧ЁюуЁрьь√^└тЄючруЁєчър^chkntfs.exe]

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
25.10.2010, 14:55
Sash

Провел необходимые операции. Вот лог.
25.10.2010, 16:41
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
d:\windows\system32\z┤[А
d:\documents and settings\uglov\├ыртэюх ьхэ■\╧ЁюуЁрьь√\└тЄючруЁєчър\chkntfs.exe
d:\windows\pss\chkntfs.exeStartup

Driver::

Folder::
d:\program files\Common Files\300158FAa

Registry::
[-HKLM\~\startupfolder\D:^Documents and Settings^uglov^├ыртэюх ьхэ■^╧ЁюуЁрьь√^└тЄючруЁєчър^chkntfs.exe]

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.