Все виснет!

Printable View

Показывать 40 сообщений этой темы на одной странице

18.02.2010, 21:20
webdesigner

Все виснет!

Сегодня решил заняться цифровкой и обнаружил что Pinnacle Studio вешается после запуска, даже диспетчер задач не запускается, помогает только кнопка reset. В безопасном режиме при выполнении 3-го скрипта [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" [/B]в AVZ, последняя зависает. Cure It! также зависает на заставке. В обычном режиме при быстрой проверке через cure it! ничего обнаружено не было. Логи:
18.02.2010, 21:44
Шапельский Александр

Здравствуйте!
Выполните скрипт
[CODE]begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(11);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/CODE]
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Сделайте лог MBAM и Gmer
19.02.2010, 01:58
webdesigner

Логи обновил. Просканировать через Gmer не удается, он виснет и подвисает систему. Диспетчер задач не запускается. Что это за вирус то такой !
19.02.2010, 07:17
pig

Логи надо было к новому сообщению прикрепить. Ладно, это на будущее.
19.02.2010, 07:22
webdesigner

А тут ограничение по размеру вложений. Поэтому пришлось удалить старые.
19.02.2010, 08:59
polword

[COLOR="Blue"]Логи прикрепите новые к новому сообщению[/COLOR]
19.02.2010, 09:26
webdesigner

Да как скажете.
19.02.2010, 09:29
Шапельский Александр

Удалите в MBAM
[CODE]Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000162-9980-0010-8000-00aa00389b71} (Rogue.WinAntiVirus) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\AVR (Rogue.AdvancedVirusRemover) -> No action taken.

Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> No action taken.

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\update (Adware.TMAagent) -> No action taken.
E:\WINDOWS\system32\28463 (Keylogger.Ardamax) -> No action taken.
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\update\BIT1C.tmp (Adware.TMAagent) -> No action taken.
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\update\updateInfo.xml (Adware.TMAagent) -> No action taken.
E:\WINDOWS\system32\28463\Dec_17_2009__20_10_03.jpg (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\Dec_17_2009__20_15_03.jpg (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.001 (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.002 (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.002.tmp (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.008 (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.008.tmp (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.009 (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.009.tmp (Keylogger.Ardamax) -> No action taken.
E:\Documents and Settings\Admin\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
[/CODE]
Сделайте новый лог MBAM. Затем выполните следующее: закройте/выгрузите все программы.
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- USB-модем, блютус и т.п.;
- сделайте лог Gmer.
Если не получиться сделать лог, сделайте его в безопасном режиме.
19.02.2010, 17:57
webdesigner

Правильно ли я вас понял, нужно перед тем как сделать лог в лог MBAM его деинсталлировать и потом установить снова ? Что делать с зараженными ключами реестра ? Или пока только лог в MBAM и Gmer сделать ?
19.02.2010, 18:13
polword

не надо переустанавливать, надо выделить все что указано и удалить.
+ после удаления сделать лог Gmer
19.02.2010, 18:29
webdesigner

А как открыть старый лог в MBAM или мне придется сканировать по-новой ?
19.02.2010, 21:52
thyrex

[QUOTE='webdesigner;589392']А как открыть старый лог в MBAM или мне придется сканировать по-новой ?[/QUOTE][url]http://virusinfo.info/showpost.php?p=493584&postcount=2[/url]
19.02.2010, 23:50
webdesigner

Вот лог из MBAM:
20.02.2010, 00:09
Шапельский Александр

Сделайте лог Gmer
20.02.2010, 20:49
webdesigner

Сканировал через Gmer в безопасном режиме, все устройства были отключены (за исключением клавы и мыши). На проверку ушло около 8 часов. В конце нажал на кнопку "Save" и вылезло окно:
[QUOTE]Нет доступа к E:\Documents and Settings\Мои документы. Недостаточно системных ресурсов для завершении операции.[/QUOTE]
Вобщем спасибо за попытку помочь, но я думаю что лучше я переустановлю систему чем так мучаться.
23.02.2010, 00:22
webdesigner

Переустановил я систему (Windows XP SP3) на новый винт и уже заметил кое-какие подвисания. Вот думаю не перекочевали ли остатки вируса со старого винта на новый. Логи сделал на всякий случай.
23.02.2010, 15:36
webdesigner

Что скажете господа ?
25.02.2010, 00:27
webdesigner

Сегодня сканируя через Cure It! систему обнаружил на винте со старой виндой вирус:
Объект: NTUSER.DAT
Путь: E:\Documents and Settings\NetworkService
Статус: Модификация Dennis. 1000

Возможно из-за него начались проблемы с подвисанием звука при прослушивании музыки и просмотре фильмов, а также общие подвисания в навигации и проблема с загрузкой сайтов.
25.02.2010, 07:09
pig

[QUOTE='webdesigner;593259']Объект: NTUSER.DAT[/QUOTE]
Это не вирус. Ложное срабатывание. Сюда его: [url]http://vms.drweb.com/sendvirus[/url]
25.02.2010, 12:45
webdesigner

[QUOTE=pig;593334]Это не вирус. Ложное срабатывание. Сюда его: [URL]http://vms.drweb.com/sendvirus[/URL][/QUOTE]
Отправил. Кстати, после того как отправил файлик в карантин появилась ошибка (синий экран смерти) при загрузке системы на обоих винтах где установлены системы.
26.02.2010, 10:02
webdesigner

Кто-нибудь мне скажет что делать то ? А то комп оп прежнему тормозит невыносимо.
26.02.2010, 22:04
webdesigner

Сегодня после перезагрузки вылез порнобаннер с предложение разблокировки по СМС на номер 8353 (текст 1275005). Пошел на сайт drweb чтобы получить код разблокировки. Ввел код, баннер исчез. Сейчас буду сканировать с помощью AVZ. Логи выложу позже.
26.02.2010, 23:18
webdesigner

А вот и логи:
27.02.2010, 04:14
polword

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe dfcj.yqo ooarftk
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('C:\WINDOWS\system32\wuauclt.exe','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('C:\Program Files\plugin.exe','');
QuarantineFile('C:\WINDOWS\system32\dfcj.yqo','');
DeleteFile('C:\WINDOWS\system32\dfcj.yqo');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
QuarantineFile('C:\Program Files\ArcSoft\TotalMedia Theatre\uDTStart.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
27.02.2010, 11:33
webdesigner

К сожалению забыл выполнить 1-й пункт перед тем как перейти ко 2-му. После выполнения п.2 попробовал выполнить п.1 и в списке не обнаружил уже:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe dfcj.yqo ooarftk
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
поэтому пофиксил только R3 - URLSearchHook: (no name) - - (no file). Вот карантин:
Файл сохранён как 100227_113257_quarantine_4b88d8b9bc977.zip
Размер файла 339990
MD5 fc67ac0d57658d5fab011d3586ab191f
Логи:
27.02.2010, 18:07
webdesigner

Просьба сообщить если все ОК и больше ничего делать не нужно.
27.02.2010, 19:27
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
27.02.2010, 19:50
webdesigner

Файл сохранён как 100227_194917_virus_4b894d0d112c4.zip
Размер файла 554105
MD5 88c68e2b855c43718fddebc08543410e
27.02.2010, 22:01
webdesigner

Логи:
27.02.2010, 23:24
thyrex

Что сейчас с проблемой?
28.02.2010, 12:36
webdesigner

Есть еще небольшие подвисания, хотя это может быть вызвано большим объемом памяти, которые требуют приложения, например utorrent и bittorrent. Но в то же время в Windows XP SP1 у меня так все не висло раньше.
02.03.2010, 18:53
webdesigner

Вчера cure it! нашел еще несколько вирей. На всякий случай выполнил скрипты.
02.03.2010, 23:01
thyrex

[URL="http://virusinfo.info/showthread.php?t=10025"]Почистите мусор[/URL]

Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый
03.03.2010, 11:15
webdesigner

А я не использую Internet Explorer, у меня другой браузер. Для чего устанавливать Adobe Acrobat 9.3 или удалять старый ?
03.03.2010, 13:57
thyrex

[QUOTE='webdesigner;596813']А я не использую Internet Explorer[/QUOTE]Он тесно интегрировани в систему, потому установка новых версий позволяет закрывать уязвимости

[QUOTE='webdesigner;596813']Для чего устанавливать Adobe Acrobat 9.3 или удалять старый ?[/QUOTE]В старых версиях полно уязвимостей, которые исправлены в более новых версиях
03.03.2010, 23:15
webdesigner

Хорошо, попробую тогда установить.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 35 минут[/I][/B][/color][/size]

Установил я Adobe Acrobat 9.3 а вот при установке Internet Explorer 8 возникли проблемы - когда выполнялся пункт проверки системы на вирусы загорелся красный крестик после чего бегунок бегал туда-сюда и ничего не происходило. После этого когда пытался что-то написать в этой теме, запустим Maxthon (браузер который я использую) то курсор просто не реагировал ни на какие действия при попытке набрать что-либо на клавиатуре ничего не отображалось. После этого я решил перезагрузить комп. Когда снова запустил Maxthon то заметил некоторые изменения:
1) немного поменялся список в Избранном, добавились ссылки от Microsoft, Папка Ссылки поменяла название на Панель избранного.
2) во время кликов слышен другой звук
3) в браузере просто все стало летать!
Спасибо за совет. Еще такой вопрос - как сделать чтобы в Mozilla firefox была точно такая же панель избранного как и в Maxthon ?
03.03.2010, 23:42
pig

Maxthon - не самостоятельный браузер, а надстройка над IE.
06.03.2010, 21:29
webdesigner

Комп по прежнему виснет.
Тут в процессах обнаружил некий qwdj.exe. Набрал в google и попал на интересный [URL="http://forum.bullguard.com/forum/8/quotDANGEROUS-VIRUSquot-PLZ-HE_76623.html"]зарубежный форум[/URL]. Там также как и здесь выкладывают логи, только используют они программу OTL. Интересно, кто-нибудь ей пользовался ? Файл qwdj.exe обнаружил в папке C:\Documents and Settings\Admin\Local Settings\Temp. Удалил, копию отправил в карантин. Стандартные скрипты выложу позже. Вот лог и протокол после сканирования на вирусы:
06.03.2010, 23:09
webdesigner

А вот и логи скриптов:
06.03.2010, 23:30
thyrex

Ничего нового

Давайте проверимся так [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

Показывать 40 сообщений этой темы на одной странице