Компютер у коллеги дико тормозит, все приложения выполняются оч.медленно, проверка антивирусом не выявляет никаких вирусов.
Направляю файлы согласно "правилам".
Компютер у коллеги дико тормозит, все приложения выполняются оч.медленно, проверка антивирусом не выявляет никаких вирусов.
Направляю файлы согласно "правилам".
Отключите восстановление системы!
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svchоst.exe',''); QuarantineFile('C:\WINDOWS\system32\PRTmate.dll',''); DeleteFile('C:\WINDOWS\system32\svchоst.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12015
Последний раз редактировалось Muzzle; 30.08.2007 в 12:33.
Базы AVZ надо обновить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин выслал, AVZ обновил
Повторите логи,есть какие-нибудь изменения в состоянии компьютера?
файл PRTmate.dll - чистый
Последний раз редактировалось Muzzle; 30.08.2007 в 13:01.
Компьютер заметно меньше стал тормозить... направляю вам повторно логи. При выполнении AVZ стандартного скрипта №3 выскочили вот такие сообщения:
----
Функция NtCreateKey (29) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D462DF
>>> Функция воcстановлена успешно !
Функция NtDeleteKey (3F) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D462F3
>>> Функция воcстановлена успешно !
Функция NtDeleteValueKey (41) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D4631F
>>> Функция воcстановлена успешно !
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D462CB
>>> Функция воcстановлена успешно !
Функция NtRenameKey (C0) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D46309
>>> Функция воcстановлена успешно !
Функция NtSetValueKey (F7) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D46335
>>> Функция воcстановлена успешно !
Функция NtTerminateProcess (101) - модификация машинного кода. Метод JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp F5D4634B
>>> Функция воcстановлена успешно !
---
Выполните такой скрипт:
После перезагрузки пришлите новый карантин по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\drivers\mfehidk.sys',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Странное дело... после выполнения скрипта в карантине не оказалось требуемого файла, т.е. карантин пуст.
Значит надо повторить его в Safe Mode.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скорее всего этот файл принадлежит Daemon Tools и как выяснилось, может конфликтовать с установленным у вас антивирусом McAffee (Numb, спасибо за info). Рекомендуется либо удалить Daemon Tools, либо сменить антивирус.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Reanimator, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.