через пару минут один из процессов Svchost начинает грузить на 100%
Printable View
через пару минут один из процессов Svchost начинает грузить на 100%
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\jgxiDNK.exe,\\?\globalroot\systemroot\system32\J3RSdT8.exe,
[/CODE]
Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\sisxvy32.exe','');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
А также
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
Проблема вроде бы прошла но теперь при включении онлайн игры Lineage 2 компьютер выдает ошибку и после минутного ожидания перезагружает компьютер.((
Логи RSIT (см. сообщение №3) сделайте
Вот.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\He6qWpS.exe','');
QuarantineFile('C:\WINDOWS\system32\1emUyd1.exe','');
QuarantineFile('C:\WINDOWS\system32\zq4A6mI.exe','');
QuarantineFile('C:\WINDOWS\system32\M7KV6Nl.exe','');
QuarantineFile('C:\WINDOWS\system32\1YZ3yn7.exe','');
QuarantineFile('C:\WINDOWS\system32\NwODv0h.exe','');
QuarantineFile('C:\WINDOWS\system32\AAJNzvu.exe','');
QuarantineFile('C:\WINDOWS\system32\JIQRHoH.exe','');
QuarantineFile('C:\WINDOWS\system32\83bKIse.exe','');
QuarantineFile('C:\WINDOWS\system32\PpOESC2.exe','');
QuarantineFile('C:\WINDOWS\system32\qaxgsgR.exe','');
QuarantineFile('C:\WINDOWS\system32\z5ebcvK.exe','');
QuarantineFile('C:\WINDOWS\system32\xXY5OqO.exe','');
QuarantineFile('C:\WINDOWS\system32\ST1DQmu.exe','');
QuarantineFile('C:\WINDOWS\system32\7b997b7e.exe','');
QuarantineFile('C:\WINDOWS\system32\d8c43e0e.exe','');
QuarantineFile('C:\WINDOWS\system32\294284d3.exe','');
QuarantineFile('C:\WINDOWS\system32\lNzfW2c.exe','');
DeleteFile('C:\WINDOWS\system32\He6qWpS.exe');
DeleteFile('C:\WINDOWS\system32\1emUyd1.exe');
DeleteFile('C:\WINDOWS\system32\zq4A6mI.exe');
DeleteFile('C:\WINDOWS\system32\M7KV6Nl.exe');
DeleteFile('C:\WINDOWS\system32\1YZ3yn7.exe');
DeleteFile('C:\WINDOWS\system32\NwODv0h.exe');
DeleteFile('C:\WINDOWS\system32\AAJNzvu.exe');
DeleteFile('C:\WINDOWS\system32\JIQRHoH.exe');
DeleteFile('C:\WINDOWS\system32\83bKIse.exe');
DeleteFile('C:\WINDOWS\system32\PpOESC2.exe');
DeleteFile('C:\WINDOWS\system32\qaxgsgR.exe');
DeleteFile('C:\WINDOWS\system32\z5ebcvK.exe');
DeleteFile('C:\WINDOWS\system32\xXY5OqO.exe');
DeleteFile('C:\WINDOWS\system32\ST1DQmu.exe');
DeleteFile('C:\WINDOWS\system32\7b997b7e.exe');
DeleteFile('C:\WINDOWS\system32\d8c43e0e.exe');
DeleteFile('C:\WINDOWS\system32\294284d3.exe');
DeleteFile('C:\WINDOWS\system32\lNzfW2c.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные лог RSIT
не вмещается 1.5 мб.
Это Вы о чем?
quarantine.zip весит 1.5 мб не получается его вложить
Его надо про красной ссылке вверху темы загрузить.
[QUOTE=polword;667185]
- Сделайте повторные лог RSIT[/QUOTE]
сделайте это
Извините проблема заново возобновилась только теперь процессор грузится не сразу а после нескольких минут....
выполните [URL="http://virusinfo.info/showpost.php?p=668664&postcount=12"]это[/URL]
вот
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\66d65d97.exe','');
QuarantineFile('C:\WINDOWS\system32\7d99ced3.exe','');
QuarantineFile('C:\WINDOWS\system32\6e9c22d5.exe','');
DeleteFile('C:\WINDOWS\system32\66d65d97.exe');
DeleteFile('C:\WINDOWS\system32\7d99ced3.exe');
DeleteFile('C:\WINDOWS\system32\6e9c22d5.exe');
QuarantineFile('C:\WINDOWS\system32\6e9c22d5.exe','');
DeleteFile('C:\WINDOWS\system32\6e9c22d5.exe');
QuarantineFile('C:\WINDOWS\system32\7d99ced3.exe','');
DeleteFile('C:\WINDOWS\system32\7d99ced3.exe');
QuarantineFile('C:\WINDOWS\system32\66d65d97.exe','');
DeleteFile('C:\WINDOWS\system32\66d65d97.exe');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи virusinfo_syscheck.zip и RSIT
вот все сделал
C:\Program Files\Common Files\keylog.txt удалите вручную
[B]Меняйте все пароли[/B]
Что с проблемой?
Файл удалил проблема прошла спасибо.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\notepab.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- скачайте новую версию [URL="http://z-oleg.com/avz4.zip"]AVZ - 4.34[/URL]
- [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
Сделал все
Пришлите файл C:\WINDOWS\notepab.exe запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
прислал
[size="1"][color="#666686"][B][I]Добавлено через 46 секунд[/I][/B][/color][/size]
Файл сохранён как 100803_143256_WinRAR ZIP archive_4c57f058286ff.zip
Размер файла 35894
MD5 f042d502725ac0ffb39bff7df0010ca5
Вас просили прислать [QUOTE='polword;681198']C:\WINDOWS\notepa[COLOR="Red"]b[/COLOR].exe[/QUOTE], а Вы прислали другой файл
а этот файл находитя в карнтине у доктора веба курейт... а не WINDOWS сейчас пришлю
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\notepab.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Text optimazer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
+ удалите его из карантина доктора веба
Файл удалил. вот лог
Чисто в логе
Обновите систему
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.3[/URL] или удалите старый.
После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
компьютер просто ищет эту проблему уже 4 раз((( не подскажите как обезопасить компьютер от нее? вот логи
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] в безопасном режиме
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторный лог RSIT
вот.
карантин пришлите.
в логах чисто
Я ПРИСЫЛАЛ
Последний карантин от Вас получен 3 августа. Последний скрипт датируется 10-м августа
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\1\главное меню\программы\автозагрузка\monoca32.exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Trojan.Packed.20775, BitDefender: Gen:Variant.Ursnif.20, AVAST4: Win32:Crypt-HCZ [Drp] )[*] c:\windows\system32\fjhdyfhsn.bat - [B]Trojan.BAT.DelFiles.ez[/B] ( DrWEB: BAT.KillFiles.42, BitDefender: Trojan.BAT.AACH, NOD32: BAT/Agent.NFC trojan, AVAST4: VBS:Malware-gen )[*] c:\windows\system32\6e9c22d5.exe - [B]Trojan-Dropper.Win32.Agent.cosf[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\66d65d97.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.cq0@a8b@Q8pi, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\7d99ced3.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \notepab.exe - [B]Trojan-Clicker.Win32.Agent.mjc[/B] ( DrWEB: Trojan.Click1.25246, BitDefender: Trojan.Generic.4478633, AVAST4: Win32:Malware-gen )[/LIST][/LIST]