-
Junior Member
- Вес репутации
- 59
теперь моя рабочая машина накрылась
какая-то прям у меня бесконечная история.....
теперь комп.в последнее время стал замечать что часто возникает загрузка цп на 100%,при том большую часть создавал аутпост.
сегодня при загрузке машины она отказалась запускаться,выведя синий экран и ссылаясь на не возможность загрузить какую-то библиотеку.была загружена с последней удачной конфигурацией,и прогнана скриптом лечения\сбора информации.при этом после загрузки меня обрадовали что дрова к звуковухе упали.после этого как положено перезагрузил,и машина отказалась загружаться в любом виде,т.к. отсутствовал файл конфига.помогло восстановление винды с установочного диска.прогнал остальные тесты.установил звук.только теперь винда регулярно через каждых 4-5 минут запускает виндоус инсталлер в 2 окна,который почти сразу закрывается.и оутпост регистрирует обновление различных компонентов аж толпами.
помогите плиз.
Последний раз редактировалось z006; 28.11.2009 в 00:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\icq5e.dll','');
QuarantineFile('IEXPLORE.EXE','');
DeleteFile('C:\WINNT\system32\icq5e.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 59
все выполнил.карантин выслал.ситуация не изменилась.
Последний раз редактировалось z006; 28.11.2009 в 00:26.
-
Junior Member
- Вес репутации
- 59
да,и еще,я сейчас заметил что аутпост постоянно отбивает обращение неизвестного процесса по UDP через 4311 порт на различные адреса.
2-3 обращения в секунду происходит...
-
выполните скрипт
Код:
begin
DeleteFile('icq5e.dll');
ExecuteSysClean;
RebootWindows(true);
end.
не вижу что порт 4311 открыт ... активность снаружи ?
-
-
Junior Member
- Вес репутации
- 59
да,активность была входящей.сегодня нету.
скрипт выполнил.машина перезагружаться не стала.на все реагировала кроме перезапуска.через пуск не реагировала ни на перезагрузку ни на выключение.помог только ресет.уже виндоус инсталлера запускается по 4 копии.ситуация не изменилась.при попытке обратится к любому адресу через ИЕ ,ИЕ вылетает с ошибкой.логи прилагаю.
зы:как удалить старые логи,которые я прикреплял не в этой теме?а то скоро уже полностью исчерпаю лимит обьема
Последний раз редактировалось z006; 28.11.2009 в 00:26.
-
пофиксите ...
Код:
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
-
-
Junior Member
- Вес репутации
- 59
пофиксил.инсталлера теперь 2 окна.ничего не изменолось в лучшую сторону.
ехе-шники больших приложений,в частности игр,не запустившись вылетают с ошибкой.
Последний раз редактировалось z006; 28.11.2009 в 00:26.
-
полню проверку Cureit выполните ....
-
-
Junior Member
- Вес репутации
- 59
ничего не найдено,ситуация не изменилась.
что делать-то????
-
1 выполните проверку поверхности диску
2 пуск - выполнить sfc /scannow
-
-
Junior Member
- Вес репутации
- 59
все выполнил а ситуация не изменилась.
и еще при выполнении этого sfc /scannow мне регулярно говорили что вроде нужно скопировать dll в кеш,а у меня стоит не верный диск.после нажатия на повторную попытку оно дальше выполнялось,но выдавало эту табличку регулярно.я просто постоянно жал на повторить попытку.
что делать?винду переставлять ой как не охота.
-
пуск - выполнить sfc /scannow нужен диск с дистрибутивом , для замены системных файлов ...
-
-
Junior Member
- Вес репутации
- 59
дык я вставил диск с исходником.и оно такое писало...
-
диск пиратский ?
в ветке реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Setup
SourcePath должен быть путь к дистрибутиву
-
-
Junior Member
- Вес репутации
- 59
да,пиратский.
странно выходит.пробовал скопировать содержимое на винт,и переписать путь на путь к папке с скопированным что тут HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Setup что тут HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Curr entVersion но при выполнении sfc /scannow все-равно идет обращение к диску.если его достать,то говорит что вставьте диск.что за еруньдень?у меня диск под буквой g я пробовал давать поиск по реестру на предмет g так нашел только в этой папке с NT где собственно изменил.остальные только на офис и плееры.
-
попробуйте указать путь к папке i386 ...
-
-
Junior Member
- Вес репутации
- 59
точно так-же...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\icq5e.dll - Trojan-Downloader.Win32.Agent.arut (DrWEB: Trojan.Popuper.13429)
-