Гляньте логи, пожалуйста.
Гляньте логи, пожалуйста.
Восстановление системы отключить.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\autorun.exe',''); QuarantineFile('C:\autorun.wsh',''); QuarantineFile('E:\autorun.wsh',''); DelBHO('{468CD8A9-7C25-45FA-969E-3D925C689DC4}'); DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}'); QuarantineFile('C:\WINDOWS\system32\nxxd.pio',''); QuarantineFile('.sys',''); DeleteFile('C:\WINDOWS\system32\nxxd.pio'); DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll'); DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe'); DeleteFile('E:\autorun.wsh'); DeleteFile('C:\autorun.wsh'); DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Сделано.
Забыл уточнить, что предыдущие логи делались из безопасного. Нормальной загрузки не мог дождаться.
Теперь делал из нормального режима и подключал интернет.
Загрузите карантин !
Там в карантине установка какой-то игрушки, "Веселая ферма 2" называется, и она тяжелая. Архив в 34Мб получился.
Я пока без него архив закачаю.
А перед ней закачан архив с 1м файлом авторана, который в нормальном режиме поместил в карантин скрипт №3.
Добавлено через 1 час 27 минут
Архив с подозреваемым сетапом "Веселая ферма 2" лежит здесь http://www.mediafire.com/?yeiy4znzzzu если нужно
Последний раз редактировалось Tritan; 11.12.2009 в 19:31. Причина: Добавлено
Пофиксить в HijackThis
ПК перезагрузите.Код:R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file) F2 - REG:system.ini: UserInit=userinit.exe,
Что с проблемой ?
Проблема не решена.
Система по прежнему долго грузится. Хотя по-моему, все же время сократилось.
При этом в процессе обращается к флэшке довольно активно, но каких-то подозрительных файлов я там не нашел. Ни с того компа, ни с условно здорового.
Любопытно, что АVZ находит какую-то папку RECYCLER и файлик авторана и еще несколько папок на диске С подписывает как прямое чтение. Но даже включив отображение скрытых файлов и папок я их не вижу.
Через HiJack я попробовал посмотреть процессы и ничего подозрительного не увидел.
Единственное, что характеризует этот комп, это обилие игрушек. Но они не будут так тормозить загрузку.
В понедельник буду гонять на нем все антивирусное, что у меня осталось. Если не придумаю ничего другого.
Корзину почистите
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\autorun.exe',''); SetServiceStart('Nups', 4); DeleteService('Nups'); QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys',''); DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys'); DeleteFile('C:\autorun.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано + просканировал еще раз нодом с последними базами, он еще 19 штук понаходил. После чего первая загрузка была быстрой, а вторая опять подтормаживала.
Корзину-то я сразу почистил. Но ее содержимое не совпадает с тем, что находит avz. Как выяснилось, скрытые папки я не видел, потому что у меня не устанавливается флажок на их отображение.
Попробовал восстановить с помощью avz. Теперь флаг устанавливается, но папок все равно не видно. Любопытно, что названия файлов вполне вменяемые.
Прямое чтение C:\Documents and Settings\врлрррла - папка видна, но доступ к ней заблокирован. Среди пользователей такой учетной записи нет. Я под администратором.
Прямое чтение C:\RECYCLER - не видно. При очистке корзины, файлы указанные avz никуда не деваются.
Хозяин компьютера сказал, что ждать лечения не может и будет переустанавливать виндоус сам.
Наверное, я сделаю 4й скрипт и оставлю файлы для анализа. А пользователю объясню ситуацию и тут уж как он решит.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\nups.sys - Trojan.Win32.Agent.dctm ( DrWEB: Trojan.Spambot.4728, BitDefender: Backdoor.Bot.110591, AVAST4: Win32:Malware-gen )
- c:\windows\system32\nxxd.pio - Backdoor.Win32.Bredavi.azz ( DrWEB: BackDoor.Vbom.5, BitDefender: Trojan.Generic.2741687, NOD32: Win32/Oficla.AP trojan, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Tritan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.