Лечение. Комп начал подтормаживать.

[Din_]

с месяц назад началось притормаживание работы компьютера.

[Белый Сокол]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\System32\Drivers\dmboot.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ljhnlo.sys','');
 DeleteService('abp470n5');
 DeleteFile('C:\WINDOWS\system32\drivers\ljhnlo.sys');
 BC_ImportDeletedList;
 BC_DeleteSvc('abp470n5');
 ExecuteRepair(10);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

Подготовьте новый комплект логов.

Проверку с помощью CureIt проводили?

[Din_]

Проверку с помощью CureIt проводили?

Да проводил. В безопасном режиме. Может после перезагрузки что-то захватилось. разинсталивал аваст и сканер Др веба. Чтоб поставить Др веб спайс секьюрить.

[light59]

логи повторите.

[Din_]

подготовил логи и отослал карантин.

[Белый Сокол]

Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe','');
 QuarantineFile('C:\WINDOWS\Temp\nsd1F.tmp\System.dll','');
 QuarantineFile('C:\WINDOWS\Temp\nsd1F.tmp\registry.dll','');
 QuarantineFile('C:\WINDOWS\Temp\nsd1F.tmp\newadvsplash.dll','');
 DeleteFile('C:\WINDOWS\Temp\nsd1F.tmp\newadvsplash.dll');
 DeleteFile('C:\WINDOWS\Temp\nsd1F.tmp\registry.dll');
 DeleteFile('C:\WINDOWS\Temp\nsd1F.tmp\System.dll');
 DeleteFileMask('%Tmp%', '*.*', true);
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

ПК перезагрузится.

Карантин загрузите, логи повторите.

[Din_]

Выполнил скрипт правда registry.dll был уже не по адресу C:\WINDOWS\Temp\nsd1F.tmp\registry.dll а по : C:\WINDOWS\Temp\nsj20.tmp\registry.dll похоже переименовывается при каждом запускеё, его удалил вручную на всякий случай.

[Rene-gad]

логи повторите.

[Din_]

Да за вами не успеешьё Только закончил создание логов.

Карантин пришел? А то я уже запутался отправлял или нет?

[Rene-gad]

Да за вами не успеешь Только закончил создание логов.

Не пишите ответ, пока не выполнили ВСЕ указания хелпера.

Очистите файл hosts.

В карантин ни один из записанных в скрипт файлов не попал.

Жалобы есть?

[Din_]

C:\WINDOWS\Temp\nsd1F.tmp\newadvsplash.dll');
C:\WINDOWS\Temp\nsd1F.tmp\registry.dll');
C:\WINDOWS\Temp\nsd1F.tmp\System.dll');

в темпе появилась вот такая папочка:

c:\WINDOWS\Temp\nsg1B.tmp

Содержит:

c:\WINDOWS\Temp\nsg1B.tmp\newadvsplash.dll');
c:\WINDOWS\Temp\nsg1B.tmp\registry.dll');
c:\WINDOWS\Temp\nsg1B.tmp\System.dll');
c:\WINDOWS\Temp\nsg1B.tmp\FindProcDLL.dll
c:\WINDOWS\Temp\nsg1B.tmp\splash.jpg

Добавлено через 2 минуты

Папка каждую перезагрузку создается с новым именемё Если надо не буду перегружать чтоб "закарантинить" её полностью.

[Rene-gad]

- Пролечитесь от файловых вирусов: http://virusinfo.info/showthread.php?t=15927
- Сделайте лог GMER

[Din_]

Сделал лог GMER.ом

[Din_]

Файлы про которые писал выше создает Firefox portable 3.5.2

c:\WINDOWS\Temp\nsg1B.tmp\newadvsplash.dll');
c:\WINDOWS\Temp\nsg1B.tmp\registry.dll');
c:\WINDOWS\Temp\nsg1B.tmp\System.dll');
c:\WINDOWS\Temp\nsg1B.tmp\FindProcDLL.dll
c:\WINDOWS\Temp\nsg1B.tmp\splash.jpg

Так что зря переживал.

[Rene-gad]

FindProcDLL plug-in Вы сами ставили? Если нет - удалите его и эта темп-папка тоже пропадет.
http://nsis.sourceforge.net/FindProcDLL_plug-in

[Din_]

Поставил Firefox Rozentox. Он не создает таких файлов.

[Rene-gad]

Жалобы есть?

MSIE: Internet Explorer v7.00 (7.00.6000.21020)

- Установите IE 8.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены