Показано с 1 по 17 из 17.

Много вирусов - система работает медленно [Virus.Win32.Neshta.a ] (заявка № 195404)

  1. #1
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    96
    Вес репутации
    36

    Thumbs up Много вирусов - система работает медленно [Virus.Win32.Neshta.a ]

    Здравствуйте.
    После того как я на время отключил Антивирус Касперского получил много ошибок в системе после очень медленной пере загрузки, файлы *.EXE не запускаются вообще. Система жутко тормозит и вот почти везде получаю вот такое сообщение - скриншот прилагаю.
    Вложение 609901
    А также когда файл EXE попробовать запустить второй раз получаю уведомление что файл не является ни 32 ни 64 бит.
    Потому даю лог только только первой обработки.
    Также есть мини карантин.

    Буду вам очень благодарен за вашу помощь !

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) biznesoft, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    1) - выполните такой скрипт в AVZ
    Код:
    begin
     TerminateProcessByName('c:\users\asus\appdata\local\temp\3582-490\atkosd2.exe');
     TerminateProcessByName('c:\windows\temp\3582-490\servic~1.exe');
     TerminateProcessByName('c:\users\asus\appdata\local\temp\3582-490\usbcha~1.exe');
     TerminateProcessByName('c:\users\asus\appdata\local\temp\3582-490\wcourier.exe');
     QuarantineFile('c:\users\asus\appdata\local\temp\3582-490\atkosd2.exe', '');
     QuarantineFile('c:\windows\temp\3582-490\servic~1.exe', '');
     QuarantineFile('c:\users\asus\appdata\local\temp\3582-490\usbcha~1.exe', '');
     QuarantineFile('c:\users\asus\appdata\local\temp\3582-490\wcourier.exe', '');
     QuarantineFile('C:\Users\Asus\AppData\Local\Temp\3582-490\msohevi.dll', '');
     QuarantineFile('C:\Users\Asus\AppData\Local\Temp\Rar$EXa0.420\vcredist_x86.exe', '');
     QuarantineFile('C:\Users\Asus\AppData\Local\Temp\Rar$EXa0.420', '');
     QuarantineFile('C:\Windows\svchost.com', '');
     QuarantineFile('c:\users\asus\appdata\local\temp\3582-490\wcourier.exe','');
     QuarantineFile('c:\users\asus\appdata\local\temp\3582-490\usbcha~1.exe','');
     QuarantineFile('c:\windows\temp\3582-490\servic~1.exe','');
     QuarantineFile('c:\program files (x86)\nvidia corporation\update core\nvbackend.exe','');
     QuarantineFile('C:\Program Files\ZTE Wireless Terminal\bin\MonServiceUDisk.exe','');
     QuarantineFile('c:\progra~2\mozill~1\firefox.exe','');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    2) - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.


    3) пролечитесь как указано в этой теме: Как лечить файловый вирус?, потом сделайте новые логи.

  5. #4
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    96
    Вес репутации
    36
    Файл карантина загружен !!!
    Файл сохранён как 160106_230404_quarantine_568d652410eec.zip
    Размер файла 1817023

    Запустил проверку как указано выше ! Когда закончу проверку напишу сюда - какие следующие мои действия будут ? какой лог нужно Вам ?
    Последний раз редактировалось biznesoft; 06.01.2016 в 23:18.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    virusinfo_autoquarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.


    + вторую часть предыдущего поста выполните.

  7. #6
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    96
    Вес репутации
    36
    Файл отправлен.
    Результат загрузки
    Файл сохранён как 160107_022515_virusinfo_autoquarantine_568d944b553 22.zip
    Размер файла 24556
    MD5 2b3a047b1398fe0577d1779c43083ade

    Делаю полную проверку найдено много вирусов Nechta.a
    Не понятно firefox.exe что за вирус ибо его не видит Курент но приложение не рабочее.

    - - - - -Добавлено - - - - -
    Сделал вторую часть файл загружен постом выше ! http://virusinfo.info/showthread.php...=1#post1347721

    Что делать дальше мне ?
    Также найден вирус
    Trojan.Starter.5042 в файле - C:\Windows\svhost.com

    Нашел в папке а также на автозагрузке вот такой файл В папке C:\Users\Asus\AppData\Local\Temp
    {07BA6E05-3F21-49AF-8FB1-08D8EC51CB9C}.com
    Содержание файла...
    PHP код:
    eho off

    @echo "KVRT cleanup script"
    @echo "Cleanup started..."

    rmdir //"C:\Users\Asus\AppData\Local\Temp\{077C451B-C8AC-47EE-97FB-98ECD7EF4CBF}"

    @echo "Cleanup completed."

    del //%
    Жду ваших указаний.
    Последний раз редактировалось biznesoft; 07.01.2016 в 12:35. Причина: Внес дополнительную информацию

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от biznesoft Посмотреть сообщение
    Делаю полную проверку найдено много вирусов Nechta.a
    Не понятно firefox.exe что за вирус ибо его не видит Курент но приложение не рабочее.
    вы проверяете из под своей же системы? Тогда напрасно тратите время. Проверять надо неактивную систему, по ссылке это написано.
    Проверяйте с Live CD или Live USB.

  9. #8
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    96
    Вес репутации
    36
    Я проверял компьютер в безопасном режиме (больше 1000 файлов излечено а некие в карантин помещено). Теперь проверяю на уже запущенном ПК.
    Еще не работает автозагрузка а именно Касперский не запускается сам, в ручную пока не запускал.

    EXE файл начал запускаться, закончу проверку и прикреплю сюда все логи от AVZ.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от biznesoft Посмотреть сообщение
    Я проверял компьютер в безопасном режиме (больше 1000 файлов излечено а некие в карантин помещено). Теперь проверяю на уже запущенном ПК.
    опять в пустую тратите время. Проверять надо неактивную систему.

    - - - - -Добавлено - - - - -

    Тем более что проверяете вы скорее всего уже заражённой утилитой . Так что ещё и систему можете окончательно убить.

    - - - - -Добавлено - - - - -

    CureIt вы наверняка качали тоже на этой системе? А как следствие он скорее всего заразился нештой ещё до того как вы его запустили (то есть сразу во время скачивания), поэтому и не имеет смысл лечения из под активной системы.

  11. #10
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    96
    Вес репутации
    36
    Цитата Сообщение от regist Посмотреть сообщение
    опять в пустую тратите время. Проверять надо неактивную систему.
    CureIt вы наверняка качали тоже на этой системе? А как следствие он скорее всего заразился нештой ещё до того как вы его запустили (то есть сразу во время скачивания), поэтому и не имеет смысл лечения из под активной системы.

    А как следствие он скорее всего заразился нештой ещё до того как вы его запустили (то есть сразу во время скачивания), поэтому и не имеет смысл лечения из под активной системы.
    Я запустил файл Curent после того как из Live CD восстановил ассоциацию EXE файлов в системе.
    Я скачал приложение на рабочем ПК записал его на CD и только тогда проверял - после чистки прошелся KRT от касперского.
    Потом с CD на активной системе еще раз все проверил вирусов не обнаружено, но служба касперского не запускается ошибка 193: 0xc1 если просто запустить руками файл avp.exe то пишет что он не является win32 а вот файл avpui.exe запускается но сразу закрывается.

    Просьба проверить логи и дать указания что делать дальше.
    Последний раз редактировалось biznesoft; 07.01.2016 в 14:09.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    1) Касперского переустановите (возможно и другие программы придётся переустановить). Потом обновите его базы и выполните полную проверку системы и флешек.

    2)
    1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
      • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
      • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)

    2. Введите sfc /scannow и нажмите Энтер.
    3. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
    4. После того как закончится проверка в командной строке введите команду:
      Код:
      findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
    5. После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.


    3) Логи сделаны версией 4.41. Скачайте актуальную версию AVZ: 4.45, обновите базы и переделайте логи.

  13. Это понравилось:


  14. #12
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    96
    Вес репутации
    36
    Пункт №1 исполнил. Пункт №2 не могу найти похожий диск (тот что раньше у меня был не могу найти также) ([Virus.Win32.Neshta.a ] на сколько я здесь прочитал на форуме не трогает каталог с системой - потому совет сохраню если будет не стабильность в работе Win 7 x64). Уже пишу из системы что была под угрозой - запустил проверку Касперским антивирусом.
    Вам спасибо за быстрые ответы и поддержку.
    Когда сделаю пункт №3 напишу сюда чтоб быть уверенным что ничего не осталось в системе.

    - - - - -Добавлено - - - - -

    Сделал все три лога в новой версии!
    Пожалуйста посмотрите что к чему.
    Есть файл в папке офиса что его Касперский определяет как вирус 07.01.2016 23.25.14;Обнаруженный объект (файл) удален.;C:\Program Files (x86)\Microsoft Office\Office14\MSQRY32.EXE;C:\Program Files (x86)\Microsoft Office\Office14\MSQRY32.EXE;UDSangerousObject.Multi.Generic;Неизвестная угроза;01/07/2016 23:25:14
    А на самом деле то Nechta и ее надо лечить научить его !
    Последний раз редактировалось biznesoft; 08.01.2016 в 00:28.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от biznesoft Посмотреть сообщение
    Касперский определяет как вирус 07.01.2016 23.25.14;Обнаруженный объект (файл) удален.;C:\Program Files (x86)\Microsoft Office\Office14\MSQRY32.EXE;C:\Program Files (x86)\Microsoft Office\Office14\MSQRY32.EXE;UDSangerousObject.Mult i.Generic;Неизвестная угроза;01/07/2016 23:25:14
    А на самом деле то Nechta и ее надо лечить научить его !
    временно восстановите его из карантина, заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

    - - - - -Добавлено - - - - -

    сделайте лог HiJackThis 2.0.6 Alfa 1.5

  16. Это понравилось:


  17. #14
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    96
    Вес репутации
    36
    Файл сохранён как 160108_143610_MSQRY32_568f911a93f09.zip
    Размер файла 403472
    MD5 c7b71929122c3e563449faf0096d1f5e

    Лог файл прилагаю.

  18. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Немного мусор почистим

    Профиксите в HijackThis
    Код:
    O2 - BHO: (no name) - {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - (no file)
    O9 - Extra button: (no name) - {7815BE26-237D-41A8-A98F-F7BD75F71086} - (no file)
    O22 - ScheduledTask: (Ready) Adobe Flash Player Updater - {root} - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe  (no file)
    O22 - ScheduledTask: (Ready) GoogleUpdateTaskMachineCore - {root} - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (no file)
    O22 - ScheduledTask: (Ready) GoogleUpdateTaskMachineUA - {root} - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (no file)
    И на этом всё.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  19. Это понравилось:


  20. #16
    Junior Member Репутация
    Регистрация
    21.04.2008
    Сообщений
    96
    Вес репутации
    36
    Цитата Сообщение от regist Посмотреть сообщение
    Немного мусор почистим

    Профиксите в HijackThis
    Код:
    O2 - BHO: (no name) - {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - (no file)
    O9 - Extra button: (no name) - {7815BE26-237D-41A8-A98F-F7BD75F71086} - (no file)
    O22 - ScheduledTask: (Ready) Adobe Flash Player Updater - {root} - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe  (no file)
    O22 - ScheduledTask: (Ready) GoogleUpdateTaskMachineCore - {root} - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (no file)
    O22 - ScheduledTask: (Ready) GoogleUpdateTaskMachineUA - {root} - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (no file)
    Пофиксил систему как указано Вами - удалил BHO.
    После исполнения скрипта получил Обнаружено уязвимостей: 2
    - Установите новый Internet Explorer
    - Установить SP2 для Office 2010

  21. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\svchost.com - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A, AVAST4: Win32:Crypt-SKC [Trj] )


  22. Это понравилось:


  • Уважаемый(ая) biznesoft, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 12
      Последнее сообщение: 05.12.2015, 22:35
    2. Ответов: 6
      Последнее сообщение: 03.04.2015, 08:21
    3. Система работает медленно.
      От Oskin_Kirill в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.03.2015, 18:09
    4. Ответов: 8
      Последнее сообщение: 12.10.2014, 19:03
    5. очень медленно работает система
      От how в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.12.2008, 17:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00127 seconds with 16 queries