Помогите вылечить компьютер.
Явно вирусы, не запускается AVZ и Hijack, удалось запустить только после переименования exe файла. Не запускается Диспетчер задач.
Логи прилагаю.
Помогите вылечить компьютер.
Явно вирусы, не запускается AVZ и Hijack, удалось запустить только после переименования exe файла. Не запускается Диспетчер задач.
Логи прилагаю.
Последний раз редактировалось Gamais_K; 28.05.2009 в 19:48.
Это ваше? Находится в планировщике задач.
В AVZ -> файл-> Выполнить скриптКод:C:\Temp\ShutDownSystem.exe C:\Utils\shutdown.cmd
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\digiwet.dll',''); QuarantineFile('c:\documents and settings\foreman\foreman.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\digiwet.dll'); DeleteFile('C:\WINDOWS\system32\acctresr.exe'); BC_ImportDeletedList; BC_DeleteSvc('upnphostCiSvc'); BC_DeleteSvc('acpi32'); ExecuteSysClean; ExecuteRepair(9); ExecuteRepair(11); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=45762
Повторите логи.
p.s. Сами делали?
Код:>> Проводник - заблокирован доступ к сетевому окружению >> Заблокирована возможность подключения и отключения сетевых дисков
В планировщике задач - это мое.
И заблокированные доступы тоже.
Это все правильно, так на этом компьютере нужно.
Скрипт выполнил, карантин выслал, логи прилагаю.
Компьютер не грузиться в нормальном режиме, уходит на перезагрузку,
удалось загрузить только в безопасном режиме.
Последний раз редактировалось Gamais_K; 28.05.2009 в 19:48.
выполните скрипт
повторите логиКод:begin SetAVZGuardStatus(True); DeleteService('ati64si'); DeleteService('amd64si'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('digiwet.dll'); DeleteFile('C:\Documents and Settings\ForeMan\ForeMan.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Все сделал, даже компьютер стал нормально грузиться, но при сканировании выдает подозрительные файлы. Посмотрите логи.
Последний раз редактировалось Gamais_K; 28.05.2009 в 19:48.
Для профилактики отключите восстановление системы и включите обратно, если оно вам нужно.
В логах ничего плохого.
Установите Service Pack 3 (может потребоваться активация) + последующие обновления.
Сделайте это http://virusinfo.info/showthread.php?t=3519
Файл закачал, как просили, имя файла:
090515_115237_virusinfo_files_CHIEF_4a0d1f45535ff. zip.
Посмотрел диспетчер задач, а он выдает окно без меню и закладок.
Это как можно "починить"?
На всякий случай запустил AVZ, а он находит какие-то подозрительные файлы. Проверьте логи, по возможности.
Последний раз редактировалось Gamais_K; 28.05.2009 в 19:48.
два раза щелкнуть по нему мышкой ...Посмотрел диспетчер задач, а он выдает окно без меню и закладок.
в логах ничего плохого ...
Не первый год работаю на компьютере, а не знал, что диспетчер задач таким образом скрывает/показывет меню и закладки.
Честное слово не знал. Спасибо.
То ли недолечился он, то ли опять что-то "подхватили", при проверке программа AVZ нашла 3 трояна. Посмотрите, пожалуйста, логи.
Отключите восстановление системы!
Скрипт
Грузим карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\System Volume Information\_restore{52575467-EB72-4D9E-B751-12C33DCDFB2F}\RP27\A0008796.sys',''); TerminateProcessByName('c:\windows\temp\klb87c.exe'); QuarantineFile('c:\windows\temp\klb87c.exe',''); DeleteFile('c:\windows\temp\klb87c.exe'); DeleteFile('C:\System Volume Information\_restore{52575467-EB72-4D9E-B751-12C33DCDFB2F}\RP27\A0008796.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторяем логи.
Скрипт запустил, карантин выслал, логи прилагаю.
Вылечился ли компьютер?
скрипт
Шлём карантин и повторяем логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\temp\js2692.exe'); QuarantineFile('c:\windows\temp\js2692.exe',''); DeleteFile('c:\windows\temp\js2692.exe'); BC_Importall ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин выслал. Логи прилагаю.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\temp\uce712.exe',''); DeleteFile('c:\windows\temp\uce712.exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Этот файл процесса TrendMicro. Эта программа при запуске создает в папке c:\windows\temp файлы с произвольным именем, типа uce712.exe, наверное, чтобы вирусы ее не могли "убить".
Если только этот файл вызывает подозрения, то, наверное, можно считать что все в порядке.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\foreman\foreman.exe - Trojan.Win32.Rabbit.ac ( DrWEB: Trojan.DownLoad.33158, BitDefender: Trojan.Dropper.TAA )
- c:\system volume information\_restore{52575467-eb72-4d9e-b751-12c33dcdfb2f}\rp27\a0008796.sys - Rootkit.Win32.Agent.ikz ( DrWEB: Trojan.NtRootKit.2763, BitDefender: Rootkit.Kobcka.C )
- c:\windows\system32\digiwet.dll - Backdoor.Win32.Zdoogu.bw ( BitDefender: Trojan.Dropper.TAM )
- c:\windows\system32\drivers\amd64si.sys - Rootkit.Win32.Agent.ikz ( DrWEB: Trojan.NtRootKit.2763, BitDefender: Rootkit.Kobcka.C )
- c:\windows\system32\drivers\ati64si.sys - Rootkit.Win32.Agent.ikz ( DrWEB: Trojan.NtRootKit.2763, BitDefender: Rootkit.Kobcka.C )
Уважаемый(ая) Gamais_K, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.