При загрузке системы выдаёт ошибку, что файл подкачки слишком мал. Не удаётся зафиксировать его размер. AVZ находит эти процессы, но удалить их не получается.
Логи во вложении
При загрузке системы выдаёт ошибку, что файл подкачки слишком мал. Не удаётся зафиксировать его размер. AVZ находит эти процессы, но удалить их не получается.
Логи во вложении
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA',''); QuarantineFile('C:\Documents and Settings\Admin\uomfwv.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1849188959-1045323217-642085124-1252\nissan.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\pard.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\tbknoywz.sys',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:exe.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\tbknoywz.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys'); DeleteFile('C:\Documents and Settings\Admin\Application Data\pard.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1849188959-1045323217-642085124-1252\nissan.exe'); DeleteFile('C:\Documents and Settings\Admin\uomfwv.exe'); DeleteFile('E:\autorun.inf'); DeleteFile('F:\autorun.inf'); RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=77592).
Сделайте новые логи.
I am not young enough to know everything...
Нашёл способ повторно выложить логи
Карантин я отправил. Теперь при загрузке "зависает" на фразе "Приветствие". Нажал три волшебных кнопки - только тогда пустило в систему. Файл подкачки по прежнему остаеться мал, изменить его не удаёться. User.ini не удалился :-(
Отключить восстановление системы, защитное ПО.
Профиксить:
Выполнить скрипт:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
Компьютер перезагрузится. Карантин загрузить. Логи повторить. Какие проблемы наблюдаются?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\system volume information\whistler\svchost.exe'); QuarantineFile('C:\WINDOWS\system32\userini.bak',''); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe',''); QuarantineFile('c:\system volume information\whistler\svchost.exe',''); DeleteFile('c:\system volume information\whistler\svchost.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\userini.bak'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file) появляется снова.
Ситуация не поменялась.
Не могу понять, что лезет в файл подкачки.
Логи вложил. Сейчас карантин отправлю.
Ой, один лог забыл
Файл сохранён как 100520_111446_virus_4bf4e1661a153.zip
Размер файла 63222
MD5 3c9ea743b6a0349964a9aed13cf06d13
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\pard.exe',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\pard.exe'); DeleteFile('C:\System Volume Information\Whistler\svchost.bak'); DeleteFile('C:\System Volume Information\Whistler\svchost.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('ICF'); BC_Activate; RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\whistler\svchost.exe - Trojan.Win32.Vilsel.adiz ( DrWEB: Win32.HLLC.Asdas.8, BitDefender: Trojan.Generic.3847133, AVAST4: Win32:Unruy-E [Trj] )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.etq ( BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DF [Trj] )
- c:\windows\system32\userini.bak - Email-Worm.Win32.Joleee.etr ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DF [Trj] )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.etr ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DF [Trj] )
Уважаемый(ая) Smbdy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.