-
Junior Member
- Вес репутации
- 61
после загрузки виндовс все жутко затормаживается, деятельность svchost и explorer
эта тема является аналогичным случаем http://virusinfo.info/showthread.php?t=73568, речь идет о компьютере, который первоначально заразил тот, с которым разбирались в этой ветке. причина кроется в появлении вредоносных процессов на основе svchost и explorer.
на этой машине после загрузки виндовс все жутко затормаживается, так что запуск каких-либо процессов невозможен. загружался с livecd, в autoruns ничего дурного не нашел, в AVZ сделал следующие логи:
Последний раз редактировалось d.schmitz; 24.03.2010 в 01:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Это логи LiveCD. Они бесполезны
А почему не использовали Registry Editor для просмотра ключей автозапуска?
Попробуйте проверить еще это http://virusinfo.info/showthread.php?t=51777
Последний раз редактировалось thyrex; 21.03.2010 в 19:58.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
А почему не использовали Registry Editor для просмотра ключей автозапуска?
если вы имеете ввиду ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run , то там я ничего подозрительного не увидел. а где еще смотреть, я не знаю
с userinit все как надо, он там, где ему и положено быть.
сейчас прохожусь по системе вот этим: http://www.freedrweb.com/livecd/ . посмотрим, ругнется ли он на что-нибудь...
Добавлено через 9 часов 30 минут
drweb нашел несколько троянов, уже знакомые по этому компу: всякие temp1231.exe и т.п. его лог, к сожалению сохранить не удалось,хотя пытался. но полная заторможенность системы при загрузке никуда не делась . блин, что еще попробовать, с переустановкой это такая долгая песня будет...
Добавлено через 1 минуту
Последний раз редактировалось d.schmitz; 22.03.2010 в 13:20.
Причина: Добавлено
-
Вариантов два.
1. Несмотря на суперторможение попытаться сделать логи
2. Переустановить систему с полным форматированием раздела
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
пытался делать, минут 40 ждал без результата - у avz так и не хватило сил запуститься. попробую еще воскресить safe mode по этой методике:
http://blog.didierstevens.com/2008/1...and-a-live-cd/
Добавлено через 4 минуты
Сообщение от
thyrex
Переустановить систему с полным форматированием раздела
это дело мне на недели полторы. столько всего установлено и веник надо покупать, чтобы все слить. ну очень хочется этого избежать
Последний раз редактировалось d.schmitz; 22.03.2010 в 15:10.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 61
удалось снять логи в безопасном режиме. прилагаю...
Последний раз редактировалось d.schmitz; 24.03.2010 в 22:15.
-
Насколько я понимаю, основной антивирус - AVG
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('FireSvc');
DeleteService('FirePM');
DeleteService('SYMIDSCO');
DeleteService('ICF');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
QuarantineFile('C:\Programme\Internet Explorer\iexplore.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0090140.exe:exe.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0087153.exe:exe.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0081290.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0081282.exe:exe.exe:$DATA','');
DeleteFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0081282.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0081290.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0087153.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0090140.exe:exe.exe:$DATA');
DeleteFile('E:\autorun.inf');
DeleteFile('c:\PROGRA~1\mcafee\mqc\QcConsol.exe');
DeleteFile('C:\Windows\Tasks\McQcTask.job');
DeleteFile('C:\Windows\Tasks\McDefragTask.job');
DeleteFile('C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\idsdefs\20080122.002\symidsco.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\FirePM.sys');
DeleteFile('C:\Programme\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Насколько я понимаю, основной антивирус - AVG
на момент падения системы был им. но при первой возможности пойдет в корзину скорее всего. E:\autorun.inf надо будет потом как-то восстановить. на E заводская консоль восстановления, ей этот файлик, наверное, необходим.
-
Так уберите из скрипта вот это:
Код:
DeleteFile('E:\autorun.inf');
Или уже?
-
-
Junior Member
- Вес репутации
- 61
скрипт прогнал, вот логи. и карантин.
Последний раз редактировалось d.schmitz; 24.03.2010 в 22:15.
-
В нормальном режиме сделать логи по-прежнему не удается?
Удалите все следы ненужных антивирусных программ http://forum.kaspersky.com/index.php...&#entry1054993 и попробуйте сделать логи в обычном режиме обычным AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
следы поудалял, и нормальный режим вроде заворочался. вот логи:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('McAfeeFramework');
DeleteFile('C:\Programme\Network Associates\Common Framework\FrameworkService.exe');
DeleteFile('avgrsstx.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter','DLLName');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
-
Ничего плохого не наблюдается
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
а Combofix не надо прогнать? просто теперь установить SP3 и заплатки, как в этом случае с первым компом: http://virusinfo.info/showthread.php?t=73568
?
-
Сообщение от
d.schmitz
а Combofix не надо прогнать?
Давайте прогоним
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\drivers\usbf25.sys
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61