Добрый день.
AVZ показывает следующие проблемные файлы:
1) 24.exe
2) syscr.exe (подмена диспетчера задач)
3) spmv.sys (после перезагрузки меняет имя)
4) и еще "перехватчик не определен"
Прикладываю необходимые файлы.....
Printable View
Добрый день.
AVZ показывает следующие проблемные файлы:
1) 24.exe
2) syscr.exe (подмена диспетчера задач)
3) spmv.sys (после перезагрузки меняет имя)
4) и еще "перехватчик не определен"
Прикладываю необходимые файлы.....
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3298438705-3709975914-902348180-7714\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1852487108-7109558154-411825094-0829\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0478158144-5495222857-420903130-5191\syscr.exe','');
QuarantineFile('C:\Documents and Settings\Sasha\Application Data\ltzqai.exe','');
QuarantineFile('C:\Program Files\plugin.exe','');
BC_DeleteSvc('Upnhercyaver');
DeleteFile('C:\Program Files\plugin.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3298438705-3709975914-902348180-7714\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1852487108-7109558154-411825094-0829\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0478158144-5495222857-420903130-5191\syscr.exe');
DeleteFile('C:\Documents and Settings\Sasha\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=89052[/url]).
Сделайте новые логи.
Прошу прощения за задержку
Новые логи...
И карантин....
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
лог полного сканирования МВАМ
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -
[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-6389739358-5907156999-183107737-6603\syscr.exe (Worm.Autorun.B) -> No action taken.
E:\System Volume Information\_restore{74B2F5CA-AC4B-4337-A138-021DBD712D70}\RP38\A0006551.exe (Trojan.Agent.CK) -> No action taken.
C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
[/CODE]
- Повторите лог МВАМ
лог МВАМ
Что с проблемой?
Проблема (мы) сохранились, логи ниже
Из попутного...
1. Generic Host Process for Win32 Services - обнаружена ошибка.
2. svchost.exe- ошибка приложения ( как правило после первого)
3. При загрузке открываются "Мои документы"
4. Перезагрузка не происходит в нормальном режиме, после закрытия всех приложений и рабочего стола все "зависает", приходится через резет.
Из-за п.1,2 приходится перезагружаться и в итоге вредины переименовываются, хотя не все....
P.S. Пока писал этот пост пришлось перезагружаться.
Активность хелперов за последние сутки говорит о том, что мне поможет только переустановка ОС.
Поставил файрвол - убралась замена диспетчера задач, остальные проблемные бяки остались.
Из попутного вроде только "мои документы" остались
Выполните скрипт в AVZ [B]в безопасном режиме[/B]:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Sasha\Application Data\ltzqai.exe');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи AVZ.
Прошу прощения за поздний ответ
Вот логи, правда между первым и вторым логом пришлось перезагрузиться т.к. не было доступа к инету, если необходимо то могу повторить, постараюсь на сколько возможно не перезагружать машину.
Больше ничего плохого не видно.
А что такое spzi.sys он же spuz.sys во втором логе после перезагрузки?
Это от эмулятора дисков.
понял, а неопределенный перехватчик?
Он же самый, либо защитное ПО.
Понял, спасибо!
Два дня погоняю машину и отпишусь....
(а пока урежу права и прочее по теме после лечения)
Рекомендуется -
Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
Спасибо всем принявшим участие в излечении.
По заявленным проблемам все в порядке. Остальные вопросы задам в других ветках.
Тему можно закрывать.