-
Junior Member
- Вес репутации
- 53
Проверьте систему (давно не чистилась, тормозит и не все запускается)
Компьютер моего брата, проблемма такова что стал тормозить и некоторые программы не запускаются, либо запускаются (и висят в процессах) но не отображаются. хотелось бы выявить всевозможные вирусы трояны и прочие пакости и истправить всяческие ошибки.
прилагаю файлы, которые создались в процессе скриптов, для проверки.
жду рекомендаций, спасибо.
Последний раз редактировалось vozd; 24.08.2010 в 11:58.
Причина: убрал 1 фаил
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- virusinfo_cure.zip - удалите из темы
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
2.Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\Program Files\Play65\Play65.exe','');
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 53
quarantine.zip загрузил, щас остальное сделаю.
при установке MBAM все время вылазит какая-то установка геймшадоу.
вроде нашел его в установке и удалении программ и удалил.
щас MBAM полное сканирование делает.
Добавлено через 1 час 11 минут
MBAM но лога не сделал.
сканирую еще раз.
Последний раз редактировалось vozd; 24.08.2010 в 13:23.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
-
C:\Program Files\Play65\Play65.exe - файл знаком?
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\avto.eprotocol (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\part1.eprotocol (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\part5.eprotocol (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{82184935-b894-4ab2-8590-603ba7d74b71} (Trojan.BHO) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
-
-
Junior Member
- Вес репутации
- 53
сделал, что с данными с проверкой в АВЗ и карантин файлом присланным через форму?
-
Junior Member
- Вес репутации
- 53
кстати RegCleaner не запускается, а раньше запускалась.
если только выставить режим совместимости, а без этого не запускается.
(это к слову)
-
Сообщение от
polword
C:\Program Files\Play65\Play65.exe - файл знаком?
как на счет этого?
-
-
Junior Member
- Вес репутации
- 53
так нету его по указанному пути, я думал удалился он, что это не знаю.
Добавлено через 2 минуты
из антивирей и экранов оставил аваст только, остальное можно удалять.
оутпост стоят и нод 32, вроде я их удалил.
Последний раз редактировалось vozd; 24.08.2010 в 15:53.
Причина: Добавлено
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\Temp\updatePlay65.exe');
DeleteFile('C:\System Volume Information\_restore{9200716A-598C-4F15-BA81-8FB93A07CD88}\RP109\A0075954.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 53
ну как там?
так же на рабочем столе у него нашел папку: AIMP2 с файлом: aimp_shell.dll
который не удаляется.
Добавлено через 47 секунд
пошел делать
Последний раз редактировалось vozd; 24.08.2010 в 16:05.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
собсно я снова дома, жду совета.
-
в логах придраться не к чему.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
- Проведите процедуру, которая описана в первом сообщении тут.
-
-
Junior Member
- Вес репутации
- 53
скрипт выполнил, все установил.
но осталось вот что:
Уязвимости в Microsoft DirectShow делают возможным удаленное выполнение кода
ссылка в логе
MS10-046 Уязвимость оболочки Windows делает возможным удаленное выполнение кода
ссылка в логе
я снова прошелся по этим ссылкам и установил, но при выполнении скрипта надписи остались те же строки.
Добавлено через 3 минуты
провел следующую процедуру, вот что вышло:
Файл сохранён как 100824_195414_virusinfo_files_BOLDINI_4c73eb262943 0.zip
Размер файла 689281
MD5 e41f43e626d93fbd0b903254ca4766a4
Последний раз редактировалось vozd; 24.08.2010 в 19:55.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
у меня тут комп брат просит ему привезти, я могу отдавать его уже?
Добавлено через 9 минут
вот ответ пришел с процедур:
Архив 100824_195414_virusinfo_files_BOLDINI_4c73eb262943 0.zip, загружен 24.08.2010 20:12:50, размер 689281 байт
Всего файлов: 4 (исполняемых 3), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 0
В очереди на добавление в базу безопасных:
высокий приоритет: 3
обычный приоритет: 1
тем не менее regcleaner так и не загружается.
Последний раз редактировалось vozd; 24.08.2010 в 20:37.
Причина: Добавлено
-
Сообщение от
vozd
я снова прошелся по этим ссылкам и установил, но при выполнении скрипта надписи остались те же строки.
файл старый. Если вы его удалите и снова выполните скрипт, он не должен больше создаваться, если все уязвимости устранены
Добавлено через 1 минуту
RegCleaner - переустановите
или можно пользоваться вот этим
Последний раз редактировалось polword; 24.08.2010 в 21:05.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
о точно, все в порядке с логом.
RegCleaner с диска, результат тот же.
тему можно закрыть, на очереди 2й комп для проверки.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-