-
Junior Member
- Вес репутации
- 54
Пропадает звук и многое другое
После нескольких часов работы ПК пропадает звук, иногда интернет.
При загрузке в процессах появляется файл с именем типа sdlakjgsdkjg.exe, который создается в корневой папке на диске С.
Когда выключаю комп, вылазит ошибка dwwin.exe
Посмотрите логи, пожалуйста
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-3799073050-0906884374-208920895-4303\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6951044645-8610130677-848985116-3843\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6951044645-8610130677-848985116-3843\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3799073050-0906884374-208920895-4303\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3799073050-0906884374-208920895-4303\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6951044645-8610130677-848985116-3843\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3799073050-0906884374-208920895-4303\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6951044645-8610130677-848985116-3843\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
gmer закрывается с ошибкой после запуска
added:
один раз запустил через ПКМ>запуск от имени>OK
потом случайно закрыл
и теперь при таком же способе запуска вылезает ошибка
"loaddriver (ссылка на файл kfpoqaob.sys) error 0xC0000061: отказано в доступе."
жму ОК
запускается gmer
при попытки сканировать вылазит еще одна ошибка:
"C:\WINDOWS\sustem32\config\system: Процесс не может получить доступ к файлу, так как этот файл занят другим процессом."
и после нее еще несколько подобных ошибок
что делать?
Последний раз редактировалось hotty; 01.07.2010 в 07:35.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\ybtvptid.dll
Driver::
fkxzwed
NetSvc::
fkxzwed
Folder::
C:\FOUND.003
C:\FOUND.002
C:\FOUND.001
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
сделано
с утра начались ошибки типа
"218.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства."
Последний раз редактировалось hotty; 01.07.2010 в 11:48.
-
Сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4246:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Удалите ComboFix
Удалите в МВАМ
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-1144930848-0199193562-850515179-9745\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-21-9729427331-7087099964-415505865-2847\syscr.exe.vir (Worm.Autorun.B) -> No action taken.
Сделайте новый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Обновления, вышедшие после SP3, все установлены?
Удалите в МВАМ
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-4927440341-2499442917-342114985-9109\syscr.exe (Worm.Autorun.B) -> No action taken.
D:\System Volume Information\_restore{1A4809ED-87CA-4E35-9B4E-485DFF63891F}\RP16\A0001183.exe (Trojan.Downloader) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
не понял, а что значит "удалить в МВАМ" ?
-
Делаю вывод, что в прошлый раз Вы это не сделали. Потому эти записи остались в новом логе
http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
вот новый лог, обновления устанавливались. отключил автообновления неделю назад примерно.
-
Удалите в МВАМ
Код:
C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
Сделайте новый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
сделал сканирование,
этого файла
C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
не было.
еще перестал переключаться язык
ни комбинацией, ни мышкой в трее..
вот новый лог
Последний раз редактировалось hotty; 04.07.2010 в 03:48.
-
Скачайте архив во вложении, распакуйте и внесите информацию из всех файлов в реестр (двойным кликом левой кнопкой мыши). Что с переключением языков?
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\Recycled\Dc48.scr');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Удалите в МВАМ
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-4345255721-0667743420-156144814-7082\syscr.exe (Worm.Autorun.B) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Код:
Зараженные файлы:
C:\RECYCLER\S-1-5-21-4345255721-0667743420-156144814-7082\syscr.exe (Worm.Autorun.B) -> No action taken.
а ничего, что там немного другие цифры были?
язык переключается теперь, спасибо.
что дальше делать?
и в папке system32 куча файлов типа 11.ехе, 23.ехе
что с ними делать? они постоянно там появляются
Последний раз редактировалось hotty; 05.07.2010 в 08:24.
-
Сообщение от
hotty
и в папке system32 куча файлов типа 11.ехе, 23.ехе
Удалите их вручную
И обновляйте систему как положено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-