Собственно сабж. Помогите пожалуйста.
Printable View
Собственно сабж. Помогите пожалуйста.
[b]Отключите восстановление системы![/b]
Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Евгений\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\40.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8098683632-5083331626-442963771-4967\csisd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8098683632-5083331626-442963771-4967\csisd.exe');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\Documents and Settings\Евгений\Application Data\ltzqai.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=94241[/url]).
Сделайте новые логи.
А как снести эти вирусы с флэшки, без форматирования и избежав при этом повторного заражения компьютера?
Спасибо.
[size="1"][color="#666686"][B][I]Добавлено через 49 минут[/I][/B][/color][/size]
ещё одна проблема, при наборе текста иногда автоматически производится набор в виде "testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttes".
Это тоже проделки вируса?
Всё выполнил.
Логи в аттаче.
Заметил ещё одну проблему, сейчас в меню кнопки "пуск" не работает правая клавиша мыши, т.е. обычно можно выбрать ярлык, нажать на правую кнопку мыши и выпадет дополнительное меню (свойства, открыть как и пр.), сейчас нет.
[QUOTE='Simpetus;749524']Это тоже проделки вируса?[/QUOTE]Нет, проделки AVZ
Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
Лог в аттаче.
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\documents and settings\Евгений\local settings\Temp\428.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Евгений\local settings\Temp\778.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\Евгений\local settings\temporary internet files\Content.IE5\2EO6CK0J\bf95dhd[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Евгений\local settings\temporary internet files\Content.IE5\2EO6CK0J\bnet[1].exe (Backdoor.Bot) -> No action taken.
c:\RECYCLER\s-1-5-21-8098683632-5083331626-442963771-4967\csisd.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-8159650519-8832196046-170009660-4202\csisd.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('c:\documents and settings\Евгений\local settings\temporary internet files\Content.IE5', '*.*', true);
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Повторный лог в аттаче.
Как убить вирусы что на 3 флэшках остались, и при этом повторно не заразить комп? Через безопасный режим касперским?
[QUOTE='Simpetus;749693']Как убить вирусы что на 3 флэшках остались, и при этом повторно не заразить комп?[/QUOTE]
1. Втыкайте флэшку, удерживая клавишу Shift, тогда автозапуск не сработает.
2. Запустите Проводник, включите показ скрытых и системных файлов и папок.
3. Открывайте флэшку, выбирая ее в [B]левой[/B] части окна Проводника, где дерево каталогов, но ни в коем случае не двойным щелчком в правой!
4. Удаляйте все чуждое.
5. Не забудьте про безопасное отключение.
Если использовать файловый менеджер вроде Far или TC, то все еще проще и безопаснее.
Блин. У меня повторное заражение, похоже. Ещё и ноутбук заболел(его логи потом выложу, отдельно. Сначала хотя бы основной нормально вылечить). Сейчас при загрузке открывается пустой экран, с папкой мои документы.
Логи внизу.
P.S.: Когда мы в прошлый раз излечили, всё равно остался один большой косяк, если долго работать с "буфером обмена"(я работаю со словарями, поэтому постоянно пользуюсь вырезать\вставить), то постоянно зависает explorer и кроме перезагрузки ничего не помогает.
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [Taskman] C:\RECYCLER\S-1-5-21-5214410879-1125291792-811293522-8679\csisf.exe
O4 - HKCU\..\Run: [Shell] explorer.exe,C:\RECYCLER\S-1-5-21-9101397076-2833864302-557527447-3633\csisf.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5214410879-1125291792-811293522-8679\csisf.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9101397076-2833864302-557527447-3633\csisf.exe','');
QuarantineFile('C:\Documents and Settings\Евгений\Application Data\bowcav.exe','');
DeleteFile('C:\Documents and Settings\Евгений\Application Data\bowcav.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5214410879-1125291792-811293522-8679\csisf.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9101397076-2833864302-557527447-3633\csisf.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFileMask( 'c:\documents and settings\Евгений\local settings\Temp', '*.*',true);
DeleteFileMask( 'c:\documents and settings\Евгений\local settings\temporary internet files\Content.IE5', '*.*',true);
DeleteFileMask( 'c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('catchme');
BC_DeleteSvc('GarenaPEngine');
BC_DeleteSvc('IntcAzAudAddService');
BC_DeleteSvc('MagicTune');
BC_DeleteSvc('RegKernelHelp');
BC_DeleteSvc('TVICHW32');
BC_DeleteSvc('UIUSys');
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=94241[/url]).
Сделайте новые логи.
Логи
На вид всё спокойно. Осталось несколько проблем(не знаю из-за вирусов они или нет):
1. Не удаётся открыть "Установка компонентов Windows". Выскакивает сообщение об ошибке, с текстом "Не удаётся загрузить библиотеку установки msgrocm.dll или не удаётся найти раздел ОсEntry. Обратитесь за помощью к администратору. Код ошибки 0x7e"
2. При открытии папки с видео файлами, происходит зависание процесса "explorer". В диспетчере задач загрузка процессора этим процессом доходит до 90 процентов. Помогает только принудительное закрытие процесса.
Как с этим бороться, понятия не имею.
Буду благодарен за любую помощь.
Спасибо
[QUOTE='Simpetus;756913']2. При открытии папки с видео файлами, происходит зависание процесса "explorer"[/QUOTE]Размер этой папки какой?
80 мегов. flv видео
выполнение команды:
regsvr32 /u shmedia.dll
не помогает, всё так же. При входе в папку, копировании, перетаскивании, explorer зависает.
[QUOTE='Simpetus;756913']2. При открытии папки с видео файлами, происходит зависание процесса "explorer".[/QUOTE]
Попробуйте создать новую папку и переместить в нее все файлы из проблемной папки. Последнюю потом удалите. Было пару раз в моей практике подобное - помогало.
Нет. Не помогло. Самое интересное что через total commander всё нормально, и переносится, и открывается. А если через стандартный эксплорер открыть, даже если ничего не делать, а просто открыть, сразу появляются зависания. Мистика, какая-то.
Кстати, как можно узнать, правильно ли работает буфер обмена? Поскольку я часто пользуюсь копировать\вставить при работе с lingvo. На определённом моменте, lingvo зависает, ну и вся система следом за ним.
[QUOTE='Simpetus;756963']Самое интересное что через total commander всё нормально[/QUOTE]С помощью него и перенесите [B]часть файлов[/B] в другую папку
Перенести то перенёс. Но в новой папке проблема тоже сохраняется. Кроме того, если долго использовать функции копии\вставки, происходит полное зависание компьютера.