Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Проблемы в работе компа. (заявка № 79092)

  1. #1
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33

    Thumbs up Проблемы в работе компа.

    Уважаемые хелперы, прошу помочь в лечении компа. Не первый раз к Вам обращаюсь и знаю как работает система. Но в этот раз случай особо тяжелый. Маккафа нашла троян в кэше Lando!rootkit. Судя по симптомам он блокирует запуск многих программ (Даунлоад мастер, AVZ и прочие). Я не могу запустить проги, чтобы согласно установленным правилам выложить логи. Dr.Web нашел еще spoolsv.exe но боюсь что это не все. Комп стал выключаться 10-12 минут, хотя раньше эта процедура занимала у него до 1,5 минут.
    Жена фрилансер и ей без компа никак. Прошу Вас помогите. По факту лечения помогу вэбманями вашему ресурсу.
    Последний раз редактировалось PavelA; 26.05.2010 в 09:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33
    запустился.
    сейчас поставлю на проверку.

  5. #4
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33
    предоставляю логи
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33
    Перечислил помощь сайту - 3 wmz
    Прошу, помогите избавиться от троянов

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    92
    Отключить восстановление системы, защитное По
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe','');
     QuarantineFile('C:\WINDOWS\BR040286.exe','');
     QuarantineFile('C:\DOCUME~1\8485~1\LOCALS~1\Temp\ios.tmp','');
     DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи попробовать сделать обычным авз(предварительно, обновив базы).

  8. #7
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33
    обычный авз не запускается, сделаю полиморфным.

  9. #8
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33
    логи после выполнения скрипта
    Вложения Вложения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,243
    Вес репутации
    3015
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
     DeleteFile('C:\DOCUME~1\8485~1\LOCALS~1\Temp\ios.tmp');
     DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(12);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Смените все пароли. Они могли попасть к злоумышленникам.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33
    после того как провел предложенные вами манипуляции запустилась обычная АВЗ (базы обновил). логи выполнены с ее помощью. новый файл карантина не был создан. чувствую что проблема еще не решена, но уже лучше. начал запускаться даунлоад мастер.
    Вложения Вложения

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,243
    Вес репутации
    3015
    Цитата Сообщение от Кромвель Посмотреть сообщение
    новый файл карантина не был создан
    Он и не должен был создаться. Это была лишняя рекомендация

    Пофиксите в HiJack
    Код:
    O20 - AppInit_DLLs: winmm.dll
    Больше ничего плохого

    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Adobe Acrobat 9.3 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33
    профиксил. предоставляю логи. установил IE 8. Акробат ридер по вашей ссылке не нашел чтобы скачать бесплатно. Купить - дорого . скажите обязательно сносить старую версию? просто она нужна в работе.
    прошу предоставить рекомендации.
    Вложения Вложения

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,243
    Вес репутации
    3015
    Цитата Сообщение от Кромвель Посмотреть сообщение
    скажите обязательно сносить старую версию? просто она нужна в работе.
    На свой страх и риск можете пользоваться. Или найти бесплатный аналог

    Логи чистые
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от Кромвель Посмотреть сообщение
    Акробат ридер по вашей ссылке не нашел чтобы скачать бесплатно. Купить - дорого . скажите обязательно сносить старую версию? просто она нужна в работе.
    Качайте--http://get.adobe.com/reader/otherversions/

  16. #15
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33
    установил рекомендованныу версию 9.3 Акробат ридера. Старый не сносил. Спасибо вам за помощь, уважаемые хэлперы. Прошу вас ответить однозначно - лечение закончено? Можна включать восстановление системы, снести DrWeb, установить Маккафу?

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от thyrex Посмотреть сообщение
    Логи чистые
    Если проблем нет, включайте восстановление системы.

  18. #17
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33
    выключается комп по прежнему долго. поставил Маккафу и она после запуска пишет что блокирует кучу приложений:

    23.05.2010 17:42:25 Blocked by port blocking rule C:\Program Files\WebMoney Agent\wmagent.exe Common Maximum Protectionrevent HTTP communication 212.158.173.189:443
    23.05.2010 17:42:28 Blocked by Access Protection rule РОР\Даша C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe \REGISTRY\MACHINE\SOFTWARE\Classes\.wid Anti-virus Maximum Protectionrevent alteration of all file extension registrations Action blocked : Write
    23.05.2010 17:42:35 Blocked by Access Protection rule РОР\Даша C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tc pip\Performance\Error Count Common Standard Protectionrotect network settings Action blocked : Delete
    23.05.2010 17:44:16 Blocked by Access Protection rule РОР\Даша C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pb k Anti-virus Maximum Protectionrotect phonebook files from password and email address stealers Action blocked : Read
    23.05.2010 17:44:54 Blocked by Access Protection rule РОР\Даша C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe \REGISTRY\MACHINE\SOFTWARE\Classes\.wid Anti-virus Maximum Protectionrevent alteration of all file extension registrations Action blocked : Write


    это опасно? я установил в ней максимальную защиту. меня смущает BTTray.exe. я последние пол года никакого програмного обеспечения или драйверов дополнительных не устанавливал, и таких сообщений Маккафа не выдавала. также она блокировала ios.tmp и у меня на его счет тоже были подозрения. судя по скриптам мы его убили.
    Обратите пож .внимание на эти файлы.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Похоже, что не добили зловреда.
    Скачайте и запустите эту утилиту--http://support.kaspersky.ru/viruses/...?qid=208636943
    Сделайте комплект логов, + сделайте лог MBAM

  20. #19
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    57
    Вес репутации
    33
    выполнил все рекомендации. МВАМ нашел трояны. предоставляю логи.
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1.удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  • Уважаемый(ая) Кромвель, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Проблемы при работе с сетью
      От Corpse0 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.09.2011, 18:34
    2. Тормоз в работе компа
      От VVizZzarD в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 23.09.2010, 15:54
    3. synsenddrv.sys-мешает нормальной работе компа
      От comphead в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.11.2009, 20:36
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 02:57
    5. Ответов: 2
      Последнее сообщение: 12.03.2008, 14:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01498 seconds with 17 queries