-
Junior Member
- Вес репутации
- 53
Долго загружается компьютер
Добрый день!
Очень долго загружается система. После загрузки не работает беспроводная сеть и используется классический интерфейс вместо ХР. Причина в том что службы Беспроводная настройка, DHCP-клиент и Темы не запускаются (Темы не запускается постоянно, Беспроводная настройка и DHCP-клиент иногда запускаются иногда - нет). DrWeb находит backdoor.tdss.565 иногда в explorer.exe иногда svchost.exe.
Помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
Закройте все программы, выгрузите антивирус, фаерволл
пофиксите В HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Internet Explorer Plugin - {F6A486E1-BEE6-4CE1-93BA-E5647F452050} - nuxmuhj85.dll (file missing)
Выполните в AVZ скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('F6A486E1-BEE6-4CE1-93BA-E5647F452050');
QuarantineFile('C:\WINDOWS\system32\sysupdater.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\JakNDis.sys','');
QuarantineFile('C:\WINDOWS\system32\nuxmuhj85.dll','');
DeleteFile('C:\WINDOWS\system32\nuxmuhj85.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.
В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 53
-
пофиксите В HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполните в AVZ скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\sysupdater.exe');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер сам перезагрузится.
Повторите пункты 2 и 3 Диагностики (virusinfo_syscheck.zip и HijackThis.log)
-
-
Junior Member
- Вес репутации
- 53
Извините в предыдущем сообщении я выслал старый лог Hijack-а.
строки
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\sdra64.exe
в новом нет.
Выполнять остальные рекомендации?
-
Сообщение от
pegas78
Выполнять остальные рекомендации?
Да. И скрипт, и логи.
-
-
Junior Member
- Вес репутации
- 53
-
В логах чисто. Что с проблемой?
Выполните инструкцию, описанную здесь:http://virusinfo.info/showthread.php?t=3519
Результат загрузки сообщите.
Также... Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате
работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 53
Спасибо за помощь!
Внешние проявления проблемы (необходимость загружать вручную службы Беспроводная настройка, DHCP-клиент и Темы) остались.
DrWeb по-прежнему детектирует backdoor.tdss.565.
Инструкцию из сообщения http://virusinfo.info/showthread.php?t=3519 выполнил.
Результат загрузки:
Файл сохранён как 100616_212827_virusinfo_files_PCNB_4c1909bbc47b 2.zip
Размер файла 6293952
MD5 7b213f7e617254e040159b7638bb3216
-
Тогда это не все...
Проверьтесь этим
После проверки сделайте полный комплект логов (В АВЗ перед выполнением логов в меню AVZPM нажмите "Установить драйвер расширенного мониторинга процессов" и перезагрузитесь)
+ лог Gmer
-
-
Junior Member
- Вес репутации
- 53
После запуска tdskiller-а и перезагрузки проблема исчезла. Дальнейшие рекомендации выполнять?
-
-
-
Junior Member
- Вес репутации
- 53
Очень долго работал gmer. Вот логи.
-
В меню AVZPM удалите драйвер расширенного мониторинга процессов.
В логах чисто.
-
-
Junior Member
- Вес репутации
- 53
Большое спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\nuxmuhj85.dll - Trojan.Win32.Agent2.crfi ( BitDefender: Trojan.Spy.BHO.BK, NOD32: Win32/AutoRun.Spy.Ambler.BS worm, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.akit
- c:\windows\system32\sysupdater.exe - Trojan-Dropper.Win32.Small.ffk ( DrWEB: BackDoor.Click.1014, BitDefender: Trojan.Generic.4198235 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-