Тормозит

Printable View

17.01.2011, 08:15
Dobrey

Тормозит

Здравствуйте.
Жутко тормозит; некоторые сайты не открывает (хостс чистый, PersistentRoutes почистил), в основном не заходит с ссылок; AVZ ругается на winlogon.exe и explorer.exe. Пробовал заменять эти файлы с установочного диска, вообще вываливается синий экран. Помогите пожалуйста. Спасибо большое.
17.01.2011, 08:43
light59

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\winsta.exe','');
QuarantineFile('C:\WINDOWS\system32\izqcvh.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
BC_Importquarantinelist;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

Выполните ещё такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл quarantine.zip из папки AVZ загрузите по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR].
17.01.2011, 09:11
Dobrey

Закачал, вот:
Файл сохранён как 110117_091014_quarantine_4d33dd46945b1.zip
Размер файла 2897781
MD5 15a6349b0acefd671a53d6947b0d6721
17.01.2011, 13:40
Bratez

1. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\izqcvh.exe');
DeleteFile('C:\WINDOWS\system32\winsta.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

2. Системный файл [B]C:\WINDOWS\System32\winlogon.exe[/B] подменен зловредом, его нужно восстановить из дистрибутива или скопировать из здоровой системы той же версии. Замену файла можно выполнить с помощью консоли восстановления или LiveCD.

3. После выполнения п.1 и 2 сделайте новые логи.
18.01.2011, 07:06
Dobrey

Подменить файл не удалось ни вручную с Live ни с помощью sfc. Винлогон той же сборки, другой сборки, рабочей винды; все перепробовал. При загрузке синий экран: stop: c000021a, ошибка 0xc000012f. Какие мои следующие действия? Кстати, AVG еще на explorer ругается. А вот на Винлогон не ругается больше.
18.01.2011, 11:58
thyrex

explorer.exe тоже замените
18.01.2011, 15:18
Dobrey

Невозможно заменить. Отписал почему. Как поменять без ошибок?
18.01.2011, 17:14
regist

[B]Dobrey[/B], сделайте новые логи.
24.01.2011, 06:00
Dobrey

Попробовал еще раз подменить оба файла, восстановить не смог, ни старыми файлами ни новыми)) Переставил ось. Спасибо за попытки)) Тему можно закрыть.
25.01.2011, 06:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\izqcvh.exe - [B]Backdoor.Win32.Shiz.zo[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\winlogon.exe - [B]Trojan.Win32.Patched.kl[/B] ( DrWEB: Win32.Dat.14, BitDefender: Trojan.Patched.GR, NOD32: Win32/Bamital.EV trojan, AVAST4: Win32:Bamital-AO )[*] c:\\windows\\system32\\winsta.exe - [B]Worm.Win32.Stuxnet.e[/B] ( DrWEB: Trojan.Stuxnet.1, BitDefender: Win32.Worm.Stuxnet.A, NOD32: Win32/Stuxnet.A worm, AVAST4: Win32:StuxX-B [Wrm] )[/LIST][/LIST]