Комп ужасно виснет, невозможно что-либо делать. Dr.Web CureIt находит DFH:HOSTS.corrupted. но даже после лечения появляется вновь и вновь.
[ATTACH]462513[/ATTACH][ATTACH]462514[/ATTACH][ATTACH]462515[/ATTACH]
Заранее благодарна за уделенное время.
Printable View
Комп ужасно виснет, невозможно что-либо делать. Dr.Web CureIt находит DFH:HOSTS.corrupted. но даже после лечения появляется вновь и вновь.
[ATTACH]462513[/ATTACH][ATTACH]462514[/ATTACH][ATTACH]462515[/ATTACH]
Заранее благодарна за уделенное время.
Уважаемый(ая) [B]Marinka[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Здравствуйте!
Закройте все программы
Отключите
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Admin\foluligc.exe','');
DeleteFile('C:\Documents and Settings\Admin\foluligc.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kipistart.ru
O4 - HKCU\..\Run: [MSConfig] "C:\Documents and Settings\Admin\foluligc.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{01BBAE8A-BD89-474C-8E59-6D79952B6043}: NameServer = 193.111.137.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{B50828B3-D925-428D-8C63-D054F9954793}: NameServer = 5.199.140.178
O17 - HKLM\System\CS1\Services\Tcpip\..\{01BBAE8A-BD89-474C-8E59-6D79952B6043}: NameServer = 193.111.137.200
O17 - HKLM\System\CS2\Services\Tcpip\..\{01BBAE8A-BD89-474C-8E59-6D79952B6043}: NameServer = 193.111.137.200
[/CODE]
Перезагрузите компьютер, снова запустите HijackThis и убедитесь, что этих строк там больше нет.
Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
Очистите куки и кэш браузеров ([url]http://virusinfo.info/showthread.php?t=128635[/url])
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
спасибо за уделенное внимание моему вопросу.
карантин отправила.
Необходимые файлы прилагаю.
[ATTACH]462525[/ATTACH][ATTACH]462526[/ATTACH]
[ATTACH]462527[/ATTACH]
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Обнаруженные ключи в реестре: 2
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято.
Обнаруженные папки: 3
C:\Documents and Settings\Admin\Application Data\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\newnext.me\cache (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\{$1284-9213-2940-1289$} (Trojan.Agent.BCM) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\Admin\Local Settings\Application Data\genienext\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1454471165-602609370-1417001333-1000\Dc108.exe (PUP.Optional.JumpyApps) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\msconfig.ini (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\{$1284-9213-2940-1289$}\27218346293184 (Trojan.Agent.BCM) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
удалила все, кроме C:\Documents and Settings\Admin\Application Data\msconfig.ini (Trojan.Agent) , так как не нашла в перечне.
Новый лог прикрепляю
[ATTACH]462685[/ATTACH]
Удалите тогда вручную этот C:\Documents and Settings\Admin\Application Data\msconfig.ini файл или при помощи MBAM.
Затем сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
удалила.
Новые логи:
[ATTACH]462695[/ATTACH][ATTACH]462696[/ATTACH]
Что с проблемой?
скорость значительно возросла.вроде бы не зависает наглухо как раньше.
по учебе часто пользуюсь флешкой. все компы кроме моего сильно ругаются,когда вставляю ее. боюсь повторно заразить свой комп с флешки. вот просканировала в MBAM ее. Вы не могли бы посмотреть пожалуйста? все можно удалять?
[ATTACH]462710[/ATTACH]
На флешке удалите в MBAM:
[CODE]
Обнаруженные файлы:
H:\RECYCLER\S-8-7-60-680125112-4391752380-645725711-971\uvtnf.exe (Trojan.Dorkbot.ED) -> Действие не было предпринято.
H:\RECYCLER\S-6-0-59-656534804-6359389639-884183044-165\rsblxi{.exe (Trojan.Dorkbot.ED) -> Действие не было предпринято.
[/CODE]
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Internet Explorer 8 установила.
Большое спасибо за помощь. Проблемы вроде пока не наблюдаются. Производительность увеличилась.
[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
[ATTACH]463512[/ATTACH]
[B]Обновите:[/B]
Foxit Reader 4.1.1.805 v.v4.1.1.805 [color=red][b]Внимание! [url=http://www.foxitsoftware.com/russian/downloads/]Скачать обновления[/url][/b][/color]
Java(TM) 6 Update 21 v.6.0.210 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-7u51-windows-i586.exe)^[/b][/color]
Adobe Shockwave Player 11.5 + Authorware Web Player v.11.5.8.612 [color=red][b]Внимание! [url=http://get.adobe.com/shockwave/]Скачать обновления[/url][/b][/color]
Adobe Reader 9.1.2 - Russian v.9.1.2 [color=red][b]Внимание! [url=http://get.adobe.com/reader/]Скачать обновления[/url][/b][/color]
Mozilla Firefox (3.5.2) v.3.5.2 (ru) [color=red][b]Внимание! [url=http://www.mozilla.org/ru/firefox/fx]Скачать обновления[/url][/b][/color]
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
выполнила рекомендации..но производительность и быстродействие как увеличилась в начале,так через пару дней и уменьшилась обратно..снова все виснет.
если не сложно, посмотри пожалуйста логи,все ли ок... или теперь причина в другом чем-то.
[ATTACH]464771[/ATTACH][ATTACH]464772[/ATTACH][ATTACH]464773[/ATTACH]
Логи AVZ сделайте версией AVZ 4.43
а где скачать? есть на сайте тут?
Отсюда [url]http://www.z-oleg.com/secur/avz/download.php[/url] скачайте утилиту.
[ATTACH]464980[/ATTACH][ATTACH]464981[/ATTACH]
Сделайте логи RSIT.
[ATTACH]464995[/ATTACH][ATTACH]464996[/ATTACH]
Плохого не видно.
спасибо, будем искать в других направлниях..
MBAM деинсталлируйте.
ok:)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\foluligc.exe - [B]Trojan-Downloader.Win32.Andromeda.agaa[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]