-
Junior Member
- Вес репутации
- 54
Вставил флешку телефона в компьютер- и получил кучу проблем)
Здравствуйте!
На компьютере был установлен AVP 9.0, Doctor Spyware, я вставил флешку телефона в компьютер - ну соответственно кучу вирусов убило наней, но что-то пролезло. Похоже какая-то разновидность autorun, но уже никакие средства его не ловят и не видят, пробовалмного разных программ. Прошу помочь, тк. компьютер тормозит, а переустановка windows - не наш метод ЛОги прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ax9a458n.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\anftdird.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a05sgirr.SYS','');
QuarantineFile('C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\netmonz.sys','');
QuarantineFile('C:\DOCUME~1\05AD~1\LOCALS~1\Temp\rrmon.sys','');
DeleteService('RRMONX');
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
DeleteFile('C:\DOCUME~1\05AD~1\LOCALS~1\Temp\rrmon.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 54
-
Junior Member
- Вес репутации
- 54
карантин закачался ?
Добавлено через 3 минуты
при работе AVZвыдает сообщение :
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000022]
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Ошибка загрузки драйвера - проверка прервана [C0000022]
2. Проверка памяти
....................
Последний раз редактировалось OlegKite; 10.12.2009 в 23:01.
Причина: Добавлено
-
Попробуйте еще раз закачать карантин
-
-
Junior Member
- Вес репутации
- 54
повторил загрузку карантина. проверьте, пожалуйста, закачался или нет, браузер не показал результат загрузки
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true)
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('netmonz');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\netmonz.sys','');
DeleteService('netmonzMP');
DeleteFile('C:\WINDOWS\system32\DRIVERS\netmonz.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
Кажется, у Вас установлено два антивируса - Зилля и AVP.
Оставьте один. Желательно проверенный.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось OlegKite; 11.12.2009 в 08:33.
-
Junior Member
- Вес репутации
- 54
странно никак не закачивается карантин
Добавлено через 2 минуты
в карантине тот же C:\WINDOWS\system32\DRIVERS\netmonz.sys ....
Последний раз редактировалось OlegKite; 11.12.2009 в 08:35.
Причина: Добавлено
-
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Winferno\PC Confidential\PCConfidential.exe','');
DeleteFile('C:\WINDOWS\Tasks\PCConfidential.job');
DeleteFile('C:\Program Files\Winferno\PC Confidential\PCConfidential.exe');
DeleteFileMask('C:\Program Files\Winferno','*.*',true);
DeleteDirectory('C:\Program Files\Winferno');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 54
-
Junior Member
- Вес репутации
- 54
-
Сообщение от
OlegKite
карантин закачался ?
Да. В логах чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 54
В общем -то наблюдается пока еще торможение при открытии сайтов интернета, хотя стало хоть работать, поэтому очень Большое спасибо вам за помощь !
При перезагрузке после выполнения последнего скрипта avz - компьютер вообще завис.
При этом без разницы чем работать в интернете - мозила, опера и explorer.
Что за зловреды у меня были -авторан или что-то другое ... ? и надо какие-то заплаты скачать к системе?
-
Сделайте лог MBAM
Добавлено через 2 минуты
Сообщение от
OlegKite
В общем -то наблюдается пока еще торможение при открытии сайтов интернета
Предполагаю, что это из-за QIP
Последний раз редактировалось Шапельский Александр; 11.12.2009 в 20:09.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
Вот лог MBAM.
Кстати еще один вопрос, конечно, связано с реестром, может и с действием каких либо вирусов, но недавно вдруг неожиданно перестал запускаться скайп. Переустановка, удаление скайпа, чистка реестра не помогли. Никак. Компьютер зависает намертво при запуске скайп. Ни одна другая программа не вешает компьютер.
-
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Cell Phone Manager\SmsUpdate.exe ','');
QuarantineFile('C:\Program Files\Internet Explorer\msimg32.dll (','');
QuarantineFile('C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe','');
QuarantineFile('C:\Program Files\FDetector\FDetector.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
-
-
Junior Member
- Вес репутации
- 54
Сделал. Карантин закачал
Файл сохранён как 091212_224811_quarantine_4b23f37b56cee.zip
Размер файла 208768
MD5 23f13b9316ac2584e6d04cbfaa2ad628
-
C:\Program Files\FDetector\FDetector.exe - Вам знакома эта программа?
Добавлено через 4 минуты
Удалите в MBAM следующее:
Код:
Заражено модулей в памяти:
C:\Program Files\Internet Explorer\msimg32.dll (Adware.MyWebSearch) -> No action taken.
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1e0de227-5ce4-4ea3-ab0c-8b03e1aa76bc} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{e79dfbca-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken.
Заражено файлов:
C:\Program Files\Internet Explorer\msimg32.dll (Adware.MyWebSearch) -> No action taken.
Сделайте контрольный лог MBAM
Последний раз редактировалось Шапельский Александр; 12.12.2009 в 23:16.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
Fdetector- программа распознавания лиц на фото. Удалил ее.