Загрузка доходит до 100% при минимуме запущенных программ
Загрузка доходит до 100% при минимуме запущенных программ
Последний раз редактировалось akalibr; 10.07.2010 в 16:05.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Policies\Explorer\Run: [Dr.Watson] C:\WINDOWS\system32\sysnkey32.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Cher1\Application Data\ibnzs.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\WINDOWS\system32\sysnkey32.exe',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\Documents and Settings\Cher1\Application Data\mrpky.exe',''); QuarantineFile('C:\DOCUME~1\Cher1\LOCALS~1\Temp\lgwawfiyjo.sys',''); DeleteFile('C:\DOCUME~1\Cher1\LOCALS~1\Temp\lgwawfiyjo.sys'); DeleteFile('C:\Documents and Settings\Cher1\Application Data\mrpky.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); DeleteFile('C:\WINDOWS\system32\sysnkey32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); DeleteFile('C:\Documents and Settings\Cher1\Application Data\ibnzs.exe'); ExecuteWizard('TSW', 2, 2, true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Запустите/включите антивирус/файрволл.Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
логи и карантин выслал.
Вирус в системе сидит, это показал Интернет.
Посмотрите, пожалуйста.
Последний раз редактировалось akalibr; 10.07.2010 в 16:05.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Пофиксите в HijackThis:
Код:F3 - REG:win.ini: run=C:\WINDOWS\system32\virejww.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Cher1\LOCALS~1\Temp\bldjad.exe
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\temp\wpv951278066679.exe'); QuarantineFile('C:\WINDOWS\Temp\wpv951278066679.exe',''); QuarantineFile('C:\WINDOWS\system32\virejww.exe',''); QuarantineFile('C:\DOCUME~1\Cher1\LOCALS~1\Temp\bldjad.exe',''); DeleteFile('C:\WINDOWS\Temp\wpv951278066679.exe'); DeleteFile('C:\WINDOWS\system32\virejww.exe'); DeleteFile('C:\DOCUME~1\Cher1\LOCALS~1\Temp\bldjad.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Запустите/включите антивирус/файрволл.Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
У вас очень уязвимая система.
Воздержитесь от посещения сомнительных сайтов и открытия вложений в письмах, даже от известных вам адресатов, если вы эти письма от них не ожидали.
Скачайте и установите SP3 для Windows XP:
http://www.microsoft.com/downloads/d...displaylang=ru
А так же обновления, вышедшие после него:
http://poleznosti.ru/soft/file_catal...20080528205228
Так же обновите Internet Explorer до актуальной версии (даже если не используете):
http://www.microsoft.com/rus/windows/internet-explorer/
Повторите для контроля лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Последний раз редактировалось Nikkollo; 02.07.2010 в 23:15.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
И такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1 тоже сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
загрузил карантин
при подключении к Инету в папке windows/temp опять какой-то вирь вылез
Добавлено через 13 минут
поставлю обновления, потом буду дальше пробовать
Последний раз редактировалось akalibr; 03.07.2010 в 01:12. Причина: Добавлено
после установки sp3 critical updates и IE8 сделал новые логи
прошу поглядеть
интернет при проведении сканирования не подключал, боюсь
Последний раз редактировалось akalibr; 10.07.2010 в 16:05.
Удалить:
Выполнить скрипт:Код:C:\Documents and Settings\Cher1\Local Settings\Temporary Internet Files\Content.IE5\TUCDU565\update[1].exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Cher1\Local Settings\Temporary Internet Files\Content.IE5\S5HPFTIX\apatu[1].exe (Trojan.VB) -> No action taken. C:\Documents and Settings\Cher1\Local Settings\Temporary Internet Files\Content.IE5\S5HPFTIX\1[2].exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Cher1\Local Settings\Temporary Internet Files\Content.IE5\S5HPFTIX\1[3].exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Cher1\Local Settings\Temporary Internet Files\Content.IE5\59CZDPVO\h2[1].exe (Malware.Packer.Gen) -> No action taken.
Прислать карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\apa.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\str.sys',''); DeleteFile('c:\windows\system32\userini.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В дополнение к совету Павла также удалить в МВАМ
Проверьте наличие файла C:\WINDOWS\system32\grpconv.exeКод:Зараженные процессы в памяти: C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken. Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\apa.exe (Trojan.VB) -> No action taken. C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Cher1\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\Documents and Settings\LocalService\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\Documents and Settings\NetworkService\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
Если будет отсутствовать, восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин выслал, поглядите
все проделал высылаю логи на всякий случай
Последний раз редактировалось akalibr; 10.07.2010 в 16:05.
Лог МБАМ тоже пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Еще уязвимости поищем...
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
PavelA, прикладываю отчет
Nikkollo, скрипт нашел одну уязвимость - уязвимость flashplayer, и выдал ссылку, я перешел по ней, скачал и установил flashplayer. После второго прокручивания скрипта ошибок найдено не было.
Последний раз редактировалось akalibr; 10.07.2010 в 16:05.
Эту парочку через карантин AVZ пришлите на проверку.Код:C:\WINDOWS\system32\apa.exe (Trojan.VB) -> No action taken. C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
выполнил скрипт
и выслал карантин, логи в процессеbegin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\apa.exe','');
QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.e xe','');
DeleteFile('C:\WINDOWS\system32\apa.exe');
DeleteFile('C:\WINDOWS\system32\wbem\grpconv.exe') ;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Удалить в МВАМ
Проверьте наличие файла C:\WINDOWS\system32\grpconv.exeКод:Зараженные файлы: C:\WINDOWS\system32\apa.exe (Trojan.VB) -> No action taken. C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Cher1\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\Documents and Settings\LocalService\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\Documents and Settings\NetworkService\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
Если будет отсутствовать, восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
логи
Последний раз редактировалось akalibr; 27.07.2010 в 18:23.
akalibr, Вы можете, наконец, выполнить то, что Вам говорят!?
Прочтите сообщение №17
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
По поводу поста 17. Я так все и выполнил, как вы мне говорили: удалил при помощи МБАМ описанные в посте строчки, после перезагрузки повторил проверку, МБАМ ничего не нашла.Файлик C:\WINDOWS\system32\grpconv.exe заменил
полез в Интернет, вроде ничего не подмотал еще через IE.
В папке c:\Windows\Temp\ ничего лишнего не появляется.
Спасибо всем за внимание
Уважаемый(ая) akalibr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.