Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

cureit отлечил, но чёта не ровно дышит... (заявка № 51523)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35

    Thumbs up cureit отлечил, но чёта не ровно дышит...

    Медленно загружается, хотя троянцев в процессах уже не видать...
    Последний раз редактировалось PavelA; 07.08.2009 в 09:30. Причина: карантин был удален

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    virusinfo_syscheck.zip пришлите

    Добавлено через 3 минуты

    Зверья много, лечение будет тяжелым.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\regeizc.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
     DeleteService('ws2_32sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\TUTJRURP.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteService('securentm');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     DeleteService('port135sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     DeleteService('nicsk32');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     DeleteService('netsik');
     QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
     DeleteService('ksi32sk');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     DeleteService('fips32cup');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     DeleteService('ati64si');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     DeleteService('amd64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteService('acpi32');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     DeleteFile('C:\WINDOWS\system32\regeizc.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново все логи.
    Прислать карантин по Правилам Приложение 3
    Последний раз редактировалось PavelA; 07.08.2009 в 09:34. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35
    Ы... Позвонили в тяпницу и срочно вызвали... Вот только добрался до больного.

    карантин выслал по п.3.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Профиксить:
    Код:
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
    RebootWindows(true);
    end.
    Прислать карантин.
    Быть готовым к замене вот этого файла, нужен будет дистрибутив винды.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35
    Пофиксил.
    Карантин отправил.
    А вот к замене чего быть не совсем понял. Ntfs.sys?
    Последний раз редактировалось Stock; 09.08.2009 в 17:50.

  7. #6
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35
    Доброго времени суток. Машина остаётся с прежними симптомами... Грузится с длинной паузой. Папки открываются и приложения запускаются с длинной паузой. Удалил на компе авиру, поставл KIS с демо ключиком. По двойному клику на иконке KIS в трэе ничего не произошло по истечении 10 минут, возможно откроется еще позже... Какие мне еще можно применить методы реанимации?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    C:\WINDOWS\system32\Drivers\Ntfs.sys надо заменить по этой методике

    После этого сделать новые логи, предварительно обновив базы AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35
    файл заменил из папки windows\system32\dllcache\ на этой-же машине. Вот логи с новыми базами.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Повторюсь
    Цитата Сообщение от thyrex Посмотреть сообщение
    C:\WINDOWS\system32\Drivers\Ntfs.sys надо заменить по этой методике
    Потом логи повторите.

  11. #10
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35
    В самом идеальном случае копии системных файлов можно найти на системном диске в папках
    %systemroot%\system32\dllcache или %systemroot%\ServicePackFiles
    \i386.
    Написано так, так и сделал. Т.к. машинка со вторым сервиспаком, а я такое перестал использовать давно. И описанный ниже вариант реанимации по дистрибутиву (SP2) применить не могу за неимением такового...

    Возможна-ли замена файлом с донора под SP3?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Почему вы читаете через строчку? Там ещё написано такое
    Однако здесь нельзя исключить опасность заражения вирусом и этих резервных файлов
    Вот вам файлик с системы SP2
    Вложения Вложения
    • Тип файла: zip ntfs.zip (340.8 Кб, 4 просмотров)

  13. #12
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35
    Почему вы читаете через строчку? Там ещё написано такое...

    Нет, я прочитал всё полностью от заглавной буквы до последней точки. Считая что идеальный вариант восстановления был-бы именно с дистрибутива я и упомянул о том что восстановил из кэша вылечиваемой машины...

    И я таки не понял где искать "Вот вам файлик..."

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Stock Посмотреть сообщение
    И я таки не понял где искать "Вот вам файлик..."
    Он приложен как логи

  15. #14
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35
    О! После рефреша появилось и вложение... Глюк...

    Файл заменил, логи сделал. Однако AVZ настойчиво кладет его в архив virusinfo_cure даже после замены. Так и осталась пауза при загрузка компа. Запуск AVZ и Hijackthis проходят быстро без тормозов. Но вот например чтобы выгрузить KIS нажимаю на нём в трэе правую кнопку и жду полторы минуты, появляется контекстное меню. Компьютер с гигом оперативки и семпроном 3200 настолько сильно тормозить не должен. Да и загрузка процессора по диспетчеру задач незначительная.
    Последний раз редактировалось Rene-gad; 10.08.2009 в 14:39.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('TUTJRURP');
     QuarantineFile('C:\WINDOWS\system32\drivers\TUTJRURP.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\TUTJRURP.sys');
     DeleteService('TUTJRURP');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(9);
    BC_DeleteSvc('TUTJRURP');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

    Добавлено через 1 минуту

    Цитата Сообщение от Stock Посмотреть сообщение
    AVZ настойчиво кладет его в архив virusinfo_cure даже после замены. .
    Закачайте файл virusinfo_cure.zip по правилам а потом удалите его.
    Последний раз редактировалось Rene-gad; 10.08.2009 в 14:44. Причина: Добавлено

  17. #16
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35
    Вот. Всё по написанному.

    PS. Rene-gad Загляните пожалуйста еще в эту тему. http://virusinfo.info/showthread.php?t=51701
    Последний раз редактировалось Stock; 10.08.2009 в 15:29. Причина: удалён virusinfo_cure

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    В логах ничего подозрительного.
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader

  19. #18
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35
    В общем всё работает, обновления почти все сделал. Тормоз присутствующий при загрузке так и остался, однако его пользователь охарактеризовал как перманентный.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Попробуйте этим почистить

  21. #20
    Junior Member Репутация
    Регистрация
    10.07.2008
    Адрес
    Minsk, Belarus.
    Сообщений
    25
    Вес репутации
    35
    CCleaner не помог... Но после скачивания очередной порции из WSUS всё пришло в норму. Спасибо за помошь!

  • Уважаемый(ая) Stock, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Не могу ничем отлечить Win32.Injector
      От Std13 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.07.2011, 16:06
    2. Процесс system грузит проц ровно на 50%
      От makgaiver в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.09.2010, 19:57
    3. Ответов: 12
      Последнее сообщение: 12.08.2009, 06:14
    4. Ответов: 6
      Последнее сообщение: 08.01.2009, 13:28
    5. Win2003 Server x64 - перезагрузка ровно! раз в час
      От mctoha в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.07.2008, 09:39

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01025 seconds with 17 queries