-
Junior Member
- Вес репутации
- 53
Зависание панели задач при загрузке, общее замедление работы проводника.
После выхода в интернет на игровые сервера, без антивируса и файерволла, заметил замедление системы, обновил вирь, скачал последний Cureit - проверил, Dr.Web нашёл и удалил файлы в папке system 32, осталось:
- зависание панели задач при загрузке;
- редко ошибка explorer.exe при загрузке системы и ошибка памяти (память не может быть read and written);
- иногда зависание проводника.
Отключение служб через msconfig ничего не дало, в кустах реестра, отвечающих за загрузку ничего незнакомого нет, в параметре Shell (куст HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ) только explorer.exe. Кроме всего прочего в папке автозагрузке висел файл monoca32.exe, антивирус на него никак не реагировал Cureit также, но так как папку автозагрузки держу пустой то удалил его.
Не знаю насколько это критично сейчас на вкладке автозагрузки через msconfig отключено всё, что отключилось, иначе вход в систему происходит очень долго, если начать работу раньше чем всё что нужно прогрузится машина просто зависает.
Помогите пожалуйста разобраться остался ли вирус в системе.
заранеЕ БОЛЬШОЕ Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\d80f4262.exe,C:\WINDOWS\system32\esggim.exe,
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\esggim.exe','');
QuarantineFile('C:\WINDOWS\system32\d80f4262.exe','');
DeleteFile('C:\WINDOWS\system32\d80f4262.exe');
DeleteFile('C:\WINDOWS\system32\esggim.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 53
-Скрипты выполнил;
-quarantine.zip отправил;
-cделать лог Гмер не удаётся, скачивал программу раза два, оба раза программа вылетала с ошибкой Microsoft сразу после быстрой проверки.
-
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('\systemroot\system32\drivers\pbwtssiriuypetut.sys','');
QuarantineFile('C:\DOCUME~1\NOS\LOCALS~1\Temp\kwfeetb.exe','');
QuarantineFile('C:\DOCUME~1\NOS\LOCALS~1\Temp\rnpjl.tmp','');
DeleteFile('C:\WINDOWS\Tasks\autochk.job');
DeleteFile('\systemroot\system32\drivers\pbwtssiriuypetut.sys');
DeleteFile('C:\DOCUME~1\NOS\LOCALS~1\Temp\rnpjl.tmp');
DeleteFile('C:\DOCUME~1\NOS\LOCALS~1\Temp\kwfeetb.exe');
DeleteService('pbwtssiriuypetut');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
После перезагрузки выполните второй скрипт
Код:
Begin
CreateQurantineArchive('C:\quarantine.zip');
End.
Закачайте полученный карантин по красной ссылке вверху.
Скачайте и пролечитесь этим http://support.kaspersky.ru/download...tdsskiller.zip , лог с результатами работы утилиты запостите сюда.
Повторите логи AVZ, сделайте лог GMER
-
-
Junior Member
- Вес репутации
- 53
Логи AVZ и Касперского сделал, с Gmer`ом ситуация повторилась.
-
Машину перегружали после работы tdsskiller?
Панда, доктор веб, пс тулс, нод32. Касперского не хватает для полного счастья.
У вас некорректно удаленные остатки от антивирусных продуктов имеются.
Инструкции и утилиты для полного удаления остатков антивирусных продуктов.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Следующий скрипт выполнять из безопасного режима
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
QuarantineFile('C:\Documents and Settings\NOS\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\NOS\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.
Выгрузите все защитное ПО, попробуйте сделать лог gmer.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 53
После работы tdsskiller комп перезагружал после сохранения отчёта.
Панда стояла очень давно(Titanium 2005), утилит для этой версии не нашёл, следы доктор веба убрал,
Защитное по выгружал, скрипт avz делал из safe moda.
С Gmer`ом снова ошибка.
Вот логи и карантин.
-
TDSSKiller ом пройдитесь еще раз и приложите лог его сюда.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 53
-
Чисто. Проблема решена?
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 53
Ну судя по всему да потому что настройки проводника больше не сбиваются и время загрузки значительно уменьшилось
Вот лог AVZ.
всем спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\nos\главное меню\программы\автозагрузка\monoca32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Botnetlog.496, BitDefender: Trojan.Generic.4608866, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\d80f4262.exe - Backdoor.Win32.Shiz.qd ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Malware-gen )
- c:\windows\system32\esggim.exe - Backdoor.Win32.Shiz.qw ( DrWEB: Trojan.PWS.Ibank.80, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
-