-
Junior Member
- Вес репутации
- 57
Что ж я подхватил...
Добрый день. Нуждаюсь в советах,очень.
Предыстория: ничего подозрительного не загружал давненько и в интернете на " минные поля " не хожу.
Сегодня почему-то не загрузился " Windows One Care " ( он-лайн пакет с антивирем). Решив переустановить - обнаружил что загрузка начинается - и через 5-7 сек вырубается. Далее ,Ad-Aware работает, но его " сторож - контрололер " не стартует , плюс перестал обновления делать баз.
При попытке запустить " HijackThis " от Trend Micro - не запускается - ну прям как будто кто-то не позволяет запуститься определенным прогам...
Решил запустить " Safe Mode " - так снова - начало запускаться - потом " хлоп" и надпись "...execute script vax347b.sys "
Поиски в сети показали что это частичка от Алкоголя 120%. Но я его давно не пользую... Рекомендации были разные - в общем снес Алкоголь...
Ничего не изменилось - но вентиляторы компа воют как бешенные - а активности никакой нигде не вижу, блин... Только кривая загрузки процессора скачет все время: 5%-35%-12%-57%-31%...
Ради интереса попробовал систему вернуть на несколько дней назад - пыхтело -пыхтело и выдало что это не представляется возможным...
Стоит WinXP-Pro. Все обновления своевременно ставятся...
Хоть на что-нить это похоже?
Вся работа встала...блин...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ тоже не запускается? Попробуйте переименовать avz.exe в 777.pif.
вентиляторы компа воют как бешенные
Смазать подшипники, почистить все от пыли, обеспечить нормальную циркуляцию воздуха.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
Bratez
AVZ тоже не запускается? Попробуйте переименовать avz.exe в 777.pif.
Смазать подшипники, почистить все от пыли, обеспечить нормальную циркуляцию воздуха.
Blin...i klava perestala pycckiy perekluchat...
Pereimenovat ne polychaetsia - klikau na ikonky - i vse visnet...
Ventilatori vout potomy chto na maksimyme rabotaut -
Ydalos zapystit Hijak This.
Pitalsia zapystit antivir ESET - pishet " ...Program Files\Eset\nod32.exe is not a valid Win32 application." Pochemy?
Voobshe neponiatnoe - processor postoianno pokazivaen zagryzennost...:-(
-
-
-
Junior Member
- Вес репутации
- 57
Vot logi Hijak This
Interestno nabludat - kogda otkrivau folder c etoi progoi - tam 2 ikonki : "HijackThis" i vtoraia " HijackThis_exe_1 "
Nak pervaia ikonka crazy 3 paza meniat ciniy cbet - migaet. Tochno chto-to ee kontroliryet
Последний раз редактировалось DenODen; 18.11.2008 в 09:56.
-
Junior Member
- Вес репутации
- 57
AVZ " nechto " daze ne daet razarxivirovat - rybit...
-
AVZ качали по моей ссылке?
-
-
Ventilatori vout potomy chto na maksimyme rabotaut -
Правильно. А почему они на максимуме работают? Потому что кулера процессора и видеокарты забиты пылью и/или они гоняют по кругу один и тот же теплый воздух (например системник в тесном отсеке стола, придвинут к стенке, завален сверху бумагами и т.п...)
Что касается вирусов, попробуйте сделать как написано тут:
http://virusinfo.info/showthread.php?t=15927
(способ 1).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
/////////
Сообщение от
Bratez
Правильно. А
почему они на максимуме работают? Потому что кулера процессора и видеокарты забиты пылью и/или они гоняют по кругу один и тот же теплый воздух (например системник в тесном отсеке стола, придвинут к стенке, завален сверху бумагами и т.п...)
Что касается вирусов, попробуйте сделать как написано тут:
http://virusinfo.info/showthread.php?t=15927
(способ 1).
Не, у меня все чисто - аж сверкает . Просто в " подполье" какая-то зараза нагружает проц - поэтому и греется оный , что и вызывает кулеры на максимум крутить.
Добавлено через 4 минуты
Сообщение от
Гриша
AVZ качали по моей ссылке?
Закачал...пол-дня проверяет все... медленно аж жуть...
Как проверит - с результатками проверки что делать?
И еще - там пишется что старые базы, а как обновить?
И последнее - прочитал пост " Подцепил трояна (winfilse) ". Все как у меня ...Абсолютно! Тоже не запускается ничего кроме " эврики". А остальные при попытке запуска - также пишет что это не Win32 сопоставимое...
И почему-то изменилась иконка на програмке мониторинга Ad-Aware.
Это все новости - хороших мало...
Спасибо за помощь!
Добавлено через 42 минуты
Красной строкой написано в результатах проверки : Process Masking detected 1544 c:\winnt\system32\drivers\winfilse.exe
Причем папка дпайверов - невидимая.
Последний раз редактировалось DenODen; 16.11.2008 в 12:52.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 57
В чем моя ошибка? Что я делаю не так?
Сообщение от
Гриша
Добрый день.
Скачал evrika.pif - запустилось без проблем.
Больше суток проверялось - и на 69% исчезло окно программы. Но в процессах было видно что проверка продолжается " где-то". Потом и это исчезло. Сегодня воскресение - третий раз запустил проверку - 59% проверилось - окно программы исчезает. Продолжение процесса видно, но и оно в скором времени перестает. Что я не так запускаю? Вымотал меня этот" невидимка" плюс вся учеба встала - все ж в компе. Если возможно - подскажите что делаю не так. Привила перечитал не один раз - но чтобы отослать логи , нодо мне хотя бы знать где они есть. Если они есть вообще - так как ни разу из трех проверок не видел окна по окончании проверок.
-
Это вы всё третий скрипт мучаете? Попробуйте второй. Или в безопасном режиме - я что-то не понял, получается в него войти или нет, но если получается, сделайте логи хотя бы так.
-
-
Junior Member
- Вес репутации
- 57
Третий скрипт?...
Сообщение от
pig
Это вы всё третий скрипт мучаете? Попробуйте второй. Или в безопасном режиме - я что-то не понял, получается в него войти или нет, но если получается, сделайте логи хотя бы так.
Немного не понял - что имеется в виду под третьим скриптом?
Безопасный режим рубится через 2-3 секунды после запуска, и снова запускается обычный.
-
Сделайте только 2 стандартный скрипт...
-
-
Junior Member
- Вес репутации
- 57
Ужастно быть бестолковым ... на старости лет...
Сообщение от
Гриша
Сделайте только 2 стандартный скрипт...
Я вчера снова сморозил горбатого - послал не то и не туда. Сегодня 2 скрипт прикрепляю к этому сообщению.
Приношу искренние извенения за кучу недоразумений созданных мною.
Спасибо.
Последний раз редактировалось DenODen; 18.11.2008 в 09:56.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
QuarantineFile('C:\Program Files\Qwest\Quickcare\bin\sprtcmd.exe','');
end.
Пришлите карантин...
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
Гриша
Отослал.
-
Не похоже это на 2 стандартный скрипт Нужен лог virusinfo_syscheck
У вас Bagle, но по этому логу некоторые файлы не видны...
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
Гриша
Не похоже это на 2 стандартный скрипт
Нужен лог virusinfo_syscheck
У вас Bagle, но по этому логу некоторые файлы не видны...
Счас запущу , и перешлю.
Добавлено через 6 минут
К слову, если можно - DrWeb on-line описал этого врага как "
winfilse.exe infected with Trojan.Packed.650 " , Касперский - " winfilse.exe - infected by Trojan-Downloader.Win32.Bagle.afy "
А AVZ нарисовал " MD5 hash: 9A462896C43FDA83EFC9DF5691573BE8 "
Последний раз редактировалось DenODen; 18.11.2008 в 09:18.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось DenODen; 18.11.2008 в 09:56.
-
Выполните скрипт 2 раза!
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
QuarantineFile('c:\winnt\system32\drivers\winfilse.exe','');
DeleteFile('c:\winnt\system32\drivers\winfilse.exe');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-