-
Junior Member
- Вес репутации
- 57
Проблемы с быстродействием.
Добрый день! Помогите пожалуйста!Попросили на работе посмотреть компьютер,очень сильно глючит, юсб устройства опознает только после обновления драйвера в Оборудовании.Систему переставить не представляется возможным,хозяин категорически отказывается.
При попытке перезагрузиться сразу после отключения вылетает синий экран (если надо будет могу указать код ошибки и дампы).
Иногда даже не включается клавиатура при запуске.Система windows xp,хозяин особо о компе не заботился.Вроде как по каким то ссылкам левым заходил и от этого начались проблемы!
Сам я компьютерами никогда не занимался.
Последний раз редактировалось sander; 21.04.2011 в 17:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
-Восстановление системы
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\services shared\lsass.exe');
QuarantineFile('c:\program files\common files\services shared\lsass.exe','');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\wpdshextautoplay.exe','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\ijdfwxh.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\ijdfwxh.exe');
DeleteFile('c:\program files\common files\services shared\lsass.exe');
DeleteFile('%windir%\system32\drivers\sfc.sys');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует');
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует');
end;
end;
//sfcfiles.log сохранится в папке, из которой был запущен AVZ
DeleteFile('%windir%\system32\sfcfiles.bak');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(20);
ExecuteWizard('TSW',2,3,true);
SaveLog('sfcfiles.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Какие браузеры установлены в системе?
Откройте все установленные браузеры и сделайте повторные логи.
Приложите sfcfiles.log из папки AVZ к следующему сообщению.
-
-
Junior Member
- Вес репутации
- 57
Спасибо за быстрый ответ!
Новые логи с браузерами (IE и Opera)
Последний раз редактировалось Bratez; 22.04.2011 в 01:48.
Причина: убрал ненужное цитирование
-
1. Отключите восстановление системы!
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Скриптом удаляется инфицированный системный файл C:\WINDOWS\system32\sfcfiles.dll. В приложенном архиве чистая копия. Распакуйте, запишите в укзанное место и перезагрузите компьютер.
4. Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Извиняюсь,что долго не отвечал,хозяину срочно понадобился компьютер !
Я так понял он открывал какие то exe файлы,которые якобы должны автоматически закачивать фильмы.
Лог прикрепляю
-
C:\WINDOWS\system32\userinit.exe -> размер=137216, детект=Virus.Win32.Expiro.w
Компьютер поражен файловым вирусом. Пожалуйста, пролечитесь так.
-
-
Junior Member
- Вес репутации
- 57
Загрузился с Dr.Web LiveCD и за 22 часа проверки удалил и вылечил порядка 3000-3500 файлов! Какие еще логи сделать на всякий случай?
-
Сделайте логи AVZ и HijackThis.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\common files\\services shared\\lsass.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.BlackHole.5215, BitDefender: Trojan.Generic.5642211, AVAST4: Win32:MalOb-FT [Cryp] )
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.BHO.bmlk ( DrWEB: Trojan.BhoBot.255, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Small-NTF [Trj] )
- c:\\windows\\system32\\ijdfwxh.exe - Backdoor.Win32.Shiz.aqh ( DrWEB: Trojan.MulDrop1.52533, BitDefender: Gen:Variant.Kazy.10631, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.FakeAV.cujq ( DrWEB: Trojan.WinSpy.1015, BitDefender: Gen:Variant.Kazy.20567, AVAST4: Win32:Small-NTF [Trj] )
- c:\\windows\\system32\\userinit.exe - Virus.Win32.Expiro.w ( DrWEB: Win32.Expiro.25, BitDefender: Win32.Expiro.T, NOD32: Win32/Expiro.U virus )
- c:\\windows\\system32\\wpdshextautoplay.exe - Virus.Win32.Expiro.w ( DrWEB: Win32.Expiro.25, BitDefender: Win32.Expiro.T, NOD32: Win32/Expiro.U virus )
-