Кто-нибудь мне скажет что делать то ? А то комп оп прежнему тормозит невыносимо.
Printable View
Кто-нибудь мне скажет что делать то ? А то комп оп прежнему тормозит невыносимо.
Сегодня после перезагрузки вылез порнобаннер с предложение разблокировки по СМС на номер 8353 (текст 1275005). Пошел на сайт drweb чтобы получить код разблокировки. Ввел код, баннер исчез. Сейчас буду сканировать с помощью AVZ. Логи выложу позже.
А вот и логи:
1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe dfcj.yqo ooarftk
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('C:\WINDOWS\system32\wuauclt.exe','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('C:\Program Files\plugin.exe','');
QuarantineFile('C:\WINDOWS\system32\dfcj.yqo','');
DeleteFile('C:\WINDOWS\system32\dfcj.yqo');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
QuarantineFile('C:\Program Files\ArcSoft\TotalMedia Theatre\uDTStart.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
К сожалению забыл выполнить 1-й пункт перед тем как перейти ко 2-му. После выполнения п.2 попробовал выполнить п.1 и в списке не обнаружил уже:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe dfcj.yqo ooarftk
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
поэтому пофиксил только R3 - URLSearchHook: (no name) - - (no file). Вот карантин:
Файл сохранён как 100227_113257_quarantine_4b88d8b9bc977.zip
Размер файла 339990
MD5 fc67ac0d57658d5fab011d3586ab191f
Логи:
Просьба сообщить если все ОК и больше ничего делать не нужно.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Файл сохранён как 100227_194917_virus_4b894d0d112c4.zip
Размер файла 554105
MD5 88c68e2b855c43718fddebc08543410e
Логи:
Что сейчас с проблемой?
Есть еще небольшие подвисания, хотя это может быть вызвано большим объемом памяти, которые требуют приложения, например utorrent и bittorrent. Но в то же время в Windows XP SP1 у меня так все не висло раньше.
Вчера cure it! нашел еще несколько вирей. На всякий случай выполнил скрипты.
[URL="http://virusinfo.info/showthread.php?t=10025"]Почистите мусор[/URL]
Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый
А я не использую Internet Explorer, у меня другой браузер. Для чего устанавливать Adobe Acrobat 9.3 или удалять старый ?
[QUOTE='webdesigner;596813']А я не использую Internet Explorer[/QUOTE]Он тесно интегрировани в систему, потому установка новых версий позволяет закрывать уязвимости
[QUOTE='webdesigner;596813']Для чего устанавливать Adobe Acrobat 9.3 или удалять старый ?[/QUOTE]В старых версиях полно уязвимостей, которые исправлены в более новых версиях
Хорошо, попробую тогда установить.
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 35 минут[/I][/B][/color][/size]
Установил я Adobe Acrobat 9.3 а вот при установке Internet Explorer 8 возникли проблемы - когда выполнялся пункт проверки системы на вирусы загорелся красный крестик после чего бегунок бегал туда-сюда и ничего не происходило. После этого когда пытался что-то написать в этой теме, запустим Maxthon (браузер который я использую) то курсор просто не реагировал ни на какие действия при попытке набрать что-либо на клавиатуре ничего не отображалось. После этого я решил перезагрузить комп. Когда снова запустил Maxthon то заметил некоторые изменения:
1) немного поменялся список в Избранном, добавились ссылки от Microsoft, Папка Ссылки поменяла название на Панель избранного.
2) во время кликов слышен другой звук
3) в браузере просто все стало летать!
Спасибо за совет. Еще такой вопрос - как сделать чтобы в Mozilla firefox была точно такая же панель избранного как и в Maxthon ?
Maxthon - не самостоятельный браузер, а надстройка над IE.
Комп по прежнему виснет.
Тут в процессах обнаружил некий qwdj.exe. Набрал в google и попал на интересный [URL="http://forum.bullguard.com/forum/8/quotDANGEROUS-VIRUSquot-PLZ-HE_76623.html"]зарубежный форум[/URL]. Там также как и здесь выкладывают логи, только используют они программу OTL. Интересно, кто-нибудь ей пользовался ? Файл qwdj.exe обнаружил в папке C:\Documents and Settings\Admin\Local Settings\Temp. Удалил, копию отправил в карантин. Стандартные скрипты выложу позже. Вот лог и протокол после сканирования на вирусы:
А вот и логи скриптов:
Ничего нового
Давайте проверимся так [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]