-
Junior Member
- Вес репутации
- 55
Все виснет!
Сегодня решил заняться цифровкой и обнаружил что Pinnacle Studio вешается после запуска, даже диспетчер задач не запускается, помогает только кнопка reset. В безопасном режиме при выполнении 3-го скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" в AVZ, последняя зависает. Cure It! также зависает на заставке. В обычном режиме при быстрой проверке через cure it! ничего обнаружено не было. Логи:
Последний раз редактировалось webdesigner; 03.03.2010 в 14:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
Выполните скрипт
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(11);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM и Gmer
-
-
Junior Member
- Вес репутации
- 55
Логи обновил. Просканировать через Gmer не удается, он виснет и подвисает систему. Диспетчер задач не запускается. Что это за вирус то такой !
-
Логи надо было к новому сообщению прикрепить. Ладно, это на будущее.
-
-
Junior Member
- Вес репутации
- 55
А тут ограничение по размеру вложений. Поэтому пришлось удалить старые.
-
Логи прикрепите новые к новому сообщению
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось webdesigner; 03.03.2010 в 14:26.
-
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000162-9980-0010-8000-00aa00389b71} (Rogue.WinAntiVirus) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\AVR (Rogue.AdvancedVirusRemover) -> No action taken.
Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> No action taken.
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\update (Adware.TMAagent) -> No action taken.
E:\WINDOWS\system32\28463 (Keylogger.Ardamax) -> No action taken.
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\update\BIT1C.tmp (Adware.TMAagent) -> No action taken.
E:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\update\updateInfo.xml (Adware.TMAagent) -> No action taken.
E:\WINDOWS\system32\28463\Dec_17_2009__20_10_03.jpg (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\Dec_17_2009__20_15_03.jpg (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.001 (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.002 (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.002.tmp (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.008 (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.008.tmp (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.009 (Keylogger.Ardamax) -> No action taken.
E:\WINDOWS\system32\28463\LASH.009.tmp (Keylogger.Ardamax) -> No action taken.
E:\Documents and Settings\Admin\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
Сделайте новый лог MBAM. Затем выполните следующее: закройте/выгрузите все программы.
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- USB-модем, блютус и т.п.;
- сделайте лог Gmer.
Если не получиться сделать лог, сделайте его в безопасном режиме.
-
-
Junior Member
- Вес репутации
- 55
Правильно ли я вас понял, нужно перед тем как сделать лог в лог MBAM его деинсталлировать и потом установить снова ? Что делать с зараженными ключами реестра ? Или пока только лог в MBAM и Gmer сделать ?
Последний раз редактировалось webdesigner; 19.02.2010 в 18:26.
-
не надо переустанавливать, надо выделить все что указано и удалить.
+ после удаления сделать лог Gmer
-
-
Junior Member
- Вес репутации
- 55
А как открыть старый лог в MBAM или мне придется сканировать по-новой ?
-
Сообщение от
webdesigner
А как открыть старый лог в MBAM или мне придется сканировать по-новой ?
http://virusinfo.info/showpost.php?p=493584&postcount=2
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось webdesigner; 20.05.2010 в 16:52.
-
-
-
Junior Member
- Вес репутации
- 55
Сканировал через Gmer в безопасном режиме, все устройства были отключены (за исключением клавы и мыши). На проверку ушло около 8 часов. В конце нажал на кнопку "Save" и вылезло окно:
Нет доступа к E:\Documents and Settings\Мои документы. Недостаточно системных ресурсов для завершении операции.
Вобщем спасибо за попытку помочь, но я думаю что лучше я переустановлю систему чем так мучаться.
-
Junior Member
- Вес репутации
- 55
Переустановил я систему (Windows XP SP3) на новый винт и уже заметил кое-какие подвисания. Вот думаю не перекочевали ли остатки вируса со старого винта на новый. Логи сделал на всякий случай.
Последний раз редактировалось webdesigner; 20.05.2010 в 16:52.
-
Junior Member
- Вес репутации
- 55
-
Junior Member
- Вес репутации
- 55
Сегодня сканируя через Cure It! систему обнаружил на винте со старой виндой вирус:
Объект: NTUSER.DAT
Путь: E:\Documents and Settings\NetworkService
Статус: Модификация Dennis. 1000
Возможно из-за него начались проблемы с подвисанием звука при прослушивании музыки и просмотре фильмов, а также общие подвисания в навигации и проблема с загрузкой сайтов.
-
Сообщение от
webdesigner
Объект: NTUSER.DAT
Это не вирус. Ложное срабатывание. Сюда его: http://vms.drweb.com/sendvirus
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
pig
Отправил. Кстати, после того как отправил файлик в карантин появилась ошибка (синий экран смерти) при загрузке системы на обоих винтах где установлены системы.