-
Junior Member
- Вес репутации
- 57
Проблемы в работе компа.
Уважаемые хелперы, прошу помочь в лечении компа. Не первый раз к Вам обращаюсь и знаю как работает система. Но в этот раз случай особо тяжелый. Маккафа нашла троян в кэше Lando!rootkit. Судя по симптомам он блокирует запуск многих программ (Даунлоад мастер, AVZ и прочие). Я не могу запустить проги, чтобы согласно установленным правилам выложить логи. Dr.Web нашел еще spoolsv.exe но боюсь что это не все. Комп стал выключаться 10-12 минут, хотя раньше эта процедура занимала у него до 1,5 минут.
Жена фрилансер и ей без компа никак. Прошу Вас помогите. По факту лечения помогу вэбманями вашему ресурсу.
Последний раз редактировалось PavelA; 26.05.2010 в 09:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте полимофорным авз сделать логи(ссылка в подписи).
-
-
Junior Member
- Вес репутации
- 57
запустился.
сейчас поставлю на проверку.
-
Junior Member
- Вес репутации
- 57
-
Junior Member
- Вес репутации
- 57
Перечислил помощь сайту - 3 wmz
Прошу, помогите избавиться от троянов
-
Отключить восстановление системы, защитное По
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe','');
QuarantineFile('C:\WINDOWS\BR040286.exe','');
QuarantineFile('C:\DOCUME~1\8485~1\LOCALS~1\Temp\ios.tmp','');
DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи попробовать сделать обычным авз(предварительно, обновив базы).
-
-
Junior Member
- Вес репутации
- 57
обычный авз не запускается, сделаю полиморфным.
-
Junior Member
- Вес репутации
- 57
логи после выполнения скрипта
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('C:\DOCUME~1\8485~1\LOCALS~1\Temp\ios.tmp');
DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(12);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Смените все пароли. Они могли попасть к злоумышленникам.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
после того как провел предложенные вами манипуляции запустилась обычная АВЗ (базы обновил). логи выполнены с ее помощью. новый файл карантина не был создан. чувствую что проблема еще не решена, но уже лучше. начал запускаться даунлоад мастер.
-
Сообщение от
Кромвель
новый файл карантина не был создан
Он и не должен был создаться. Это была лишняя рекомендация
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: winmm.dll
Больше ничего плохого
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
профиксил. предоставляю логи. установил IE 8. Акробат ридер по вашей ссылке не нашел чтобы скачать бесплатно. Купить - дорого . скажите обязательно сносить старую версию? просто она нужна в работе.
прошу предоставить рекомендации.
-
Сообщение от
Кромвель
скажите обязательно сносить старую версию? просто она нужна в работе.
На свой страх и риск можете пользоваться. Или найти бесплатный аналог
Логи чистые
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
Кромвель
Акробат ридер по вашей ссылке не нашел чтобы скачать бесплатно. Купить - дорого . скажите обязательно сносить старую версию? просто она нужна в работе.
Качайте--http://get.adobe.com/reader/otherversions/
-
-
Junior Member
- Вес репутации
- 57
установил рекомендованныу версию 9.3 Акробат ридера. Старый не сносил. Спасибо вам за помощь, уважаемые хэлперы. Прошу вас ответить однозначно - лечение закончено? Можна включать восстановление системы, снести DrWeb, установить Маккафу?
-
Сообщение от
thyrex
Логи чистые
Если проблем нет, включайте восстановление системы.
-
-
Junior Member
- Вес репутации
- 57
-
Похоже, что не добили зловреда.
Скачайте и запустите эту утилиту--http://support.kaspersky.ru/viruses/...?qid=208636943
Сделайте комплект логов, + сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 57
выполнил все рекомендации. МВАМ нашел трояны. предоставляю логи.
-
1.удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-