Printable View
офисный компьютер, система ХР, сидят за ним все подряд
после чистки авира все равно находит какие то вирусы, cure it ничего не находит, все запущенные процессы авира видит как подозрительные, периодически возникают какие-то глюки в системе, иногда пропадает сеть, иногда синий экран смерти
проанализируйте пожалуйста.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\x','');
QuarantineFile('C:\WINDOWS\system32\03.scr','');
QuarantineFile('\\Dis\ёлочки\Xmas.exe','');
QuarantineFile('C:\Documents and Settings\Irisha\vpyu.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
QuarantineFile('C:\WINDOWS\system32\puhetu.exe','');
QuarantineFile('C:\WINDOWS\system32\fedycysip.exe','');
DeleteService('raujgo9j0n');
DeleteService('f3u3aoalmts7oi');
DeleteService('dm6u1l94k');
QuarantineFile('C:\WINDOWS\system32\noujyboowib.exe','');
QuarantineFile('c:\windows\system32\ssqrm.exe','');
QuarantineFile('c:\documents and settings\irisha\Рабочий стол\ИРИНА\apiclock.exe','');
DeleteFile('c:\windows\system32\ssqrm.exe');
DeleteFile('C:\WINDOWS\system32\noujyboowib.exe');
DeleteFile('C:\WINDOWS\system32\fedycysip.exe');
DeleteFile('C:\WINDOWS\system32\puhetu.exe');
DeleteFile('C:\Documents and Settings\Irisha\vpyu.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\03.scr');
DeleteFile('C:\WINDOWS\system32\12.scr');
DeleteFile('C:\WINDOWS\system32\17.scr');
DeleteFile('C:\WINDOWS\system32\28.scr');
DeleteFile('C:\WINDOWS\system32\47.scr');
DeleteFile('C:\WINDOWS\system32\57.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
карантин прислал, после выполнения скрипта и перезагрузки выдало на экран "система была восстановлена после серьезной ошибки" не смотря на то, что восстановление системы отключено
повторные логи прилагаются
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\A.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\xbyulbph.sys','');
QuarantineFile('C:\WINDOWS\system32\x','');
DeleteFile('C:\WINDOWS\system32\x');
DeleteFile('C:\WINDOWS\system32\drivers\xbyulbph.sys');
DeleteFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\A.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegSearch('HKLM', '', 'A.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
SetAVZPMStatus(True);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Файл avz.log из папки с AVZ прикрепите. Логи повторите.
после каждой перезагрузки комп выдает сообщение "восстановление после серьезной ошибки" каждый раз ссылается на какие то новые файлы из папки темп в локал сеттингс
до последнего скрипта вылетел в синий экран с ошибкой 0x0000008E
и еще что-то было написано про файл win32k.sys
Установите [url=http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru]SP3[/url](может потребоваться активация)+все последующие обновления
Повторите логи.
поставил
Второй карантин от вас не получен.
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\A.tmp','');
DeleteFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\A.tmp');
DeleteFile('C:\WINDOWS\system32\33.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\aux_providor');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\aux_providor');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\aux_providor');
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.
+ Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]
сделал
выполните скрипт
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ssqrm.exe');
BC_DeleteFile('C:\WINDOWS\system32\ssqrm.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
комп периодически уходит в синий экран
коды ошибок
0x00000050
0x00000024
0x0000008e
[QUOTE=katter;739423]комп периодически уходит в синий экран
коды ошибок
0x00000050
0x00000024
0x0000008e[/QUOTE]
Это проблемы с железом, скорее всего - с оперативкой.
оператива новая две гиговых плашки, щас поменяю на какие нить другие, поставлю на мониторинг
[QUOTE='katter;739428']оператива новая[/QUOTE]
Может просто контакты грязные - почистите ластиком, спиртом протрите...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ssqrm.exe - [B]Net-Worm.Win32.Kolab.nba[/B] ( DrWEB: Trojan.AVKill.3136, BitDefender: Trojan.Generic.6859116, AVAST4: Win32:VB-YLY [Trj] )[*] c:\\windows\\system32\\03.scr - [B]Net-Worm.Win32.Kolab.nba[/B] ( DrWEB: Trojan.AVKill.3136, BitDefender: Trojan.Generic.6859116, AVAST4: Win32:VB-YLY [Trj] )[*] c:\\windows\\system32\\33.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.14741, BitDefender: Trojan.Generic.KDV.74406, AVAST4: Win32:AutoRun-BRP [Trj] )[/LIST][/LIST]