Есть проблема

Printable View

Показывать 40 сообщений этой темы на одной странице

17.06.2009, 23:13
Mc 09

Есть проблема

Постоянно выскакивает Generic Host Processor Win32 Serv и svchost.
Интернет почти не работает, пользуюсь Mozilla.
Иногда долго выключается компьютер.
Сделал всё как написано в правилах, но не копируется в карантин у меня ничего. Что делать?
Заранее благодарен!
17.06.2009, 23:30
pig

Карантин ещё никто не просил. Вы логи прикрепите.
19.06.2009, 21:49
Mc 09

Вложений: 2

[ATTACH]139961[/ATTACH]

[ATTACH]139962[/ATTACH]
19.06.2009, 22:00
Wild Spirit

Не хватает лога HijackThis.
Скачайте AVZ из моей подписи и сделайте логи в скачанном AVZ.
20.06.2009, 02:10
Mc 09

Вложений: 1

[ATTACH]139989[/ATTACH]
20.06.2009, 22:42
Mc 09

Вложений: 2

[ATTACH]140114[/ATTACH]

[ATTACH]140115[/ATTACH]

Вставленные логи из скаченного AVZ.
Что еще необходимо сделать?
Заранее благодарен.
20.06.2009, 23:58
thyrex

[QUOTE=Mc 09;420184]Вставленные логи из скаченного AVZ.
Что еще необходимо сделать?[/QUOTE]Читать внимательно:)
Вас просили сделать логи таким AVZ [url]http://depositfiles.com/files/lu8kozp4y[/url]
Я бы еще порекомендовал перед созданием логов включить AVZPM (выбрать первый пункт в соответствующем меню программы)
21.06.2009, 22:20
Mc 09

По ссылке [url]http://depositfiles.com/files/lu8kozp4y[/url] не удаётся загрузить AVZ.
Что можно ещё сделать?
21.06.2009, 22:24
Wild Spirit

Попробуйте скачать полиморфный AVZ по ссылке из подписи [B]thyrex[/B].
21.06.2009, 23:20
Mc 09

По ссылке thyrex полиморфный AVZ тоже не получается скачать. Я пробовал, даже зарегистрировался там.
21.06.2009, 23:48
thyrex

По моей ссылке всего 4 цифры ввести надо, нажать Далее и будет ссылка
Даже это невозможно сделать???

Такой лог [url]http://virusinfo.info/showthread.php?t=40118[/url] сделайте на всякий случай
22.06.2009, 00:49
Mc 09

Вложений: 1

[ATTACH]140319[/ATTACH]
22.06.2009, 09:44
thyrex

Кидо + Буткит(???)

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del service ehjvgrfhr
gmer.exe -del service ivrpxq
gmer.exe -del file "C:\WINDOWS\system32\qfnxyqtx.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ehjvgrfhr"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ivrpxq"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ehjvgrfhr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ivrpxq"
gmer.exe -reboot[/code]И запустите cleanup.bat

Сделать новый лог gmer

[U]Дополнительно[/U]
Скачайте [url="http://www2.gmer.net/mbr/mbr.exe"]mbr[/url]
После запуска в папке с программой найдете mbr.log
Его и выложите
22.06.2009, 22:17
Mc 09

Вложений: 1

[ATTACH]140585[/ATTACH]
22.06.2009, 23:02
thyrex

Выполните
[CODE]mbr.exe -c 0x1d1c4581 0x1ad copy_of_mbr_rk
mbr.exe -f[/CODE]

Файл copy_of_mbr_rk пришлите согласно [B]Приложения 2[/B] правил

Сделать новый лог [B]mbr[/B]
Также не сделали повторный лог [B]gmer[/B]
23.06.2009, 00:44
Mc 09

Вложений: 1

[ATTACH]140622[/ATTACH]
Лог mbr такой же как и предыдущий, а карантин пустой (файлы не добавляются).
Антивирус постоянно пищит от DR./Delphi.Gen
Что делать?
23.06.2009, 15:51
thyrex

Файл copy_of_mbr_rk создался?

Попробуйте против буткита (это на него скорее антивирус ругается) [URL="ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe"]CureIt[/URL] в безопасном режиме использовать

Потом будем с Кидо разбираться...
24.06.2009, 00:12
Mc 09

Не создаётся файл copy_of_mbr_rk.
Хотя до этого cleanup.bat coздал без проблем.
Выполнил setup в безопасном режиме, после чего комп перезагрузился. Но проблема не исчезла.
Что делать дальше?
Заранее благодарен.
24.06.2009, 12:36
Гриша

Лог CureIT приложите, он в папке вашего пользователя...
24.06.2009, 22:54
Mc 09

Я еще раз запустил CureIt.
Нашлося 16 вирусов.
Что нажать дальше:Desinfizieren (но пишет потом nicht desinfizieren),umbenennen, verschiben, Lцschen?
24.06.2009, 23:03
pig

Неизлечимые перемещать.
24.06.2009, 23:24
Mc 09

Как переместить и куда?
24.06.2009, 23:39
pig

Куда - это в настройках CureIt прописано. Как - это как раз то, что он спрашивает при выборе основого действия "Лечить". Странно, если вы немецкого не знаете, зачем он у вас выбран? Я тоже по-немецки не понимаю, но последний вариант там "Удалить", это слово я узнаю. А не проще в интерфейсе CureIt язык переключить на встроенный английский?
25.06.2009, 21:33
Mc 09

CureIt удалил много вирусов:Trojan.MulDrop, Tool.Prockil, WinHLLW.Shadow.based, WinHLLW.Autoruner, Trojan.Fakealert, Tool.TcpZ. 3 раза запускал Dr.Web сначала удалил 16 штук, потом 4, третий раз 1.
Неизлечимых не было.
Стал намного лучше работать нет.
Но по прежнему антивирус ругается на TR/Crypt.XDR.Gen
Что делать дальше?
25.06.2009, 23:11
thyrex

Начните с лога [B]gmer[/B]
25.06.2009, 23:38
Mc 09

Вложений: 1

[ATTACH]141341[/ATTACH]
Подскажите, пожалуйста, что делать дальше?
Заранее благодарен
26.06.2009, 00:07
thyrex

C:\WINDOWS\System32\svchost.exe пришлите согласно [B]Приложения 2[/B] правил

Сделайте новые логи AVZ
27.06.2009, 16:38
Mc 09

Вложений: 2

[ATTACH]141682[/ATTACH]

[ATTACH]141683[/ATTACH]

Файл, который просили прислать согласно Приложения2 в карантин не загружается.
27.06.2009, 17:25
thyrex

Нового зверья набрали...

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\User\User.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\LocalService.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
DeleteService('systemntmi');
DeleteService('securentm');
DeleteService('port135sik');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('ksi32sk');
DeleteService('fips32cup');
DeleteService('ati64si');
DeleteService('amd64si');
DeleteService('MRSVSS Service');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
TerminateProcessByName('c:\windows\tstray.exe');
QuarantineFile('c:\windows\tstray.exe','');
TerminateProcessByName('c:\windows\system\mrsvss.exe');
QuarantineFile('c:\windows\system\mrsvss.exe','');
DeleteFile('c:\windows\system\mrsvss.exe');
DeleteFile('c:\windows\tstray.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\Documents and Settings\LocalService\LocalService.exe');
DeleteFile('C:\Documents and Settings\User\User.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
27.06.2009, 18:56
Mc 09

Вложений: 2

[ATTACH]141716[/ATTACH]

[ATTACH]141717[/ATTACH]

Карантин отослал согласно Приложения 3.
Что далее делать?
Заранее благодарен!
28.06.2009, 11:27
thyrex

Обновить базы AVZ

Выполните скрипт в AVZ
[code]begin
DeleteFile('tstray.exe');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделать новые логи (и лог HiJack тоже)
28.06.2009, 15:04
Mc 09

Вложений: 4

[ATTACH]141804[/ATTACH]

[ATTACH]141805[/ATTACH]

[ATTACH]141806[/ATTACH]

[ATTACH]141807[/ATTACH]
Что делать далее?
Заранее благодарен!
28.06.2009, 15:52
thyrex

[B]virusinfo_cure.zip[/B] уберите!

В этих логах чисто. Что с проблемой?
28.06.2009, 16:40
Mc 09

Что Кидо тоже удалили?
Выскочил разок антивирус с TR/Crypt.XDR.Gen Trojan.
У меня стоит Avira.
Может что-то др. установить?
28.06.2009, 16:50
thyrex

Выполните [B]все[/B] рекомендации [url]http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215[/url]
Отчет KidoKiller выложите

Лог gmer eщe раз сделайте (из всех дисков отметьте только системный)
28.06.2009, 16:55
Mc 09

Вложений: 1

Еще выскочил Hiddenext/Crypted.

Касперский ничего не обнаружил. Где найти Kidokiller?
Заранее благодарен!
28.06.2009, 18:32
Rene-gad

[QUOTE=Mc 09;424067]
Касперский ничего не обнаружил. Где найти Kidokiller?
[/QUOTE]Какой Касперский? Вы статью по ссылке до конца прочитали? :O
28.06.2009, 19:37
Mc 09

КК это же продукт Касперского? Я это имел ввиду.
28.06.2009, 20:52
Rene-gad

[QUOTE=Mc 09;424114]КК это же продукт Касперского? [/QUOTE]Он же [B]K[/B]ido[B]k[/B]iller 8)
30.06.2009, 23:20
Mc 09

Большое спасибо, хелперы Virusinfo!
Проблема устранена!!!

Показывать 40 сообщений этой темы на одной странице