19.12.2010, 05:19 | #1 (ссылка) |
Новичок
Регистрация: 19.12.2010
Сообщений: 55
Репутация: 0
|
Нужна помощь. Подозрение на вирусы
Проявление проблемы: при входе и совершении любого действия компьютер показывает песочные часы и ни на что больше не реагирует (во всех учетных записях). Операции можно совершать только в Безопасном режиме. На вирусы сканировал avast'ом и dr web'ом - видимо что-то осталось.
Прошу помочь. Вот ссылки на AVZ и HiJackThis логи: virusinfo_syscure hijackthis Заранее благодарен. Последний раз редактировалось wreder; 19.12.2010 в 05:31. |
19.12.2010, 06:08 | #2 (ссылка) |
Мастер
|
wreder, Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('F:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\02.exe'); DeleteFile('C:\WINDOWS\system32\25.exe'); DeleteFile('C:\WINDOWS\system32\28.exe'); DeleteFile('C:\WINDOWS\system32\38.exe'); DeleteFile('C:\WINDOWS\system32\43.exe'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'HungAppTimeout', 5000); RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'WaitToKillAppTimeout', 20000); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); BC_Activate; RebootWindows(true); end. |
19.12.2010, 16:48 | #4 (ссылка) | |
Мастер
|
wreder, в нормальном режиме все еще не получается лог сделать?
Такой лог сделайте: Цитата:
|
|
19.12.2010, 17:58 | #5 (ссылка) |
Новичок
Регистрация: 19.12.2010
Сообщений: 55
Репутация: 0
|
Iljeben, сделал лог virusinfo_syscheck уже в нормальном режиме. Ваш первый скрипт оказалось помог, вот только система иногда подвесает при обращении к папкам.
Ссылка на лог: virusinfo_syscheck.zip Тогда новую операцию mbam нужно делать? |
19.12.2010, 20:11 | #7 (ссылка) |
Новичок
Регистрация: 19.12.2010
Сообщений: 55
Репутация: 0
|
Iljeben, Аваст и Веб почистил. Отключил все службы кроме майкрософтовских, Plug and Play и адаптера производительности. Теперь на первый взгляд все работает.
Лог mbam: mbam-log-2010-12-19 (20-59-26) Лог проверки с virustotal.com (просто скопировал таблицу в блокнот): log Последний раз редактировалось wreder; 19.12.2010 в 20:32. |
19.12.2010, 20:19 | #8 (ссылка) | |
Мастер
|
Удалите в МВАМ:
Цитата:
|
|
Ads | |
19.12.2010, 22:24 | #9 (ссылка) |
Новичок
Регистрация: 19.12.2010
Сообщений: 55
Репутация: 0
|
Iljeben, удалил все в MBAM.
Новый лог AVZ: virusinfo_syscheck.zip Вот ссылка анализа crazybump.exe на virustotl: ссылка |
19.12.2010, 22:37 | #10 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Program Files\crazybump\crazybump.exe',''); QuarantineFile('C:\WINDOWS\system32\68.exe',''); QuarantineFile('C:\WINDOWS\system32\32.exe',''); QuarantineFile('C:\WINDOWS\system32\26.exe',''); QuarantineFile('C:\WINDOWS\system32\17.exe',''); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); QuarantineFile('C:\WINDOWS\system32\WTMKM.exe',''); QuarantineFile('C:\WINDOWS\gwdrive32.exe',''); DeleteFile('C:\WINDOWS\gwdrive32.exe'); DeleteFile('C:\WINDOWS\system32\WTMKM.exe'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); DeleteFile('C:\WINDOWS\system32\17.exe'); DeleteFile('C:\WINDOWS\system32\26.exe'); DeleteFile('C:\WINDOWS\system32\32.exe'); DeleteFile('C:\WINDOWS\system32\68.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MacrokeyManager'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме. |
21.12.2010, 20:35 | #13 (ссылка) |
Новичок
Регистрация: 19.12.2010
Сообщений: 55
Репутация: 0
|
Iljeben, Вот:
virusinfo_syscheck.zip |
21.12.2010, 20:59 | #14 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); TerminateProcessByName('c:\windows\gwdrive32.exe'); TerminateProcessByName('c:\docume~1\home\locals~1\temp\743174.exe'); TerminateProcessByName('c:\docume~1\home\locals~1\temp\729651.exe'); TerminateProcessByName('c:\docume~1\home\locals~1\temp\6768262.exe'); TerminateProcessByName('c:\docume~1\home\locals~1\temp\570.exe'); DeleteFile('c:\docume~1\home\locals~1\temp\6768262.exe'); DeleteFile('c:\docume~1\home\locals~1\temp\729651.exe'); DeleteFile('c:\docume~1\home\locals~1\temp\743174.exe'); DeleteFile('c:\windows\gwdrive32.exe'); DeleteFile('c:\windows\system32\msvmiode.exe'); DeleteFile('C:\DOCUME~1\Home\LOCALS~1\Temp\570.exe'); DeleteFile('C:\DOCUME~1\Home\LOCALS~1\Temp\729651.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced EHTAL Enable'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable'); DeleteFile('C:\Documents and Settings\Home\Application Data\ltzqai.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-6146193858-0085486370-339276201-6322\csidrv.exe,explorer.exe,C:\Documents and Settings\Home\Application Data\ltzqai.exe'); DeleteFile('C:\WINDOWS\gwdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); DeleteFile('c:\docume~1\home\locals~1\temp\570.exe'); DeleteFile('C:\WINDOWS\system32\03.exe'); DeleteFile('C:\WINDOWS\system32\05.exe'); DeleteFile('C:\WINDOWS\system32\12.exe'); DeleteFile('C:\WINDOWS\system32\15.exe'); DeleteFile('C:\WINDOWS\system32\17.exe'); DeleteFile('C:\WINDOWS\system32\24.exe'); DeleteFile('C:\WINDOWS\system32\25.exe'); DeleteFile('C:\WINDOWS\system32\26.exe'); DeleteFile('C:\WINDOWS\system32\28.exe'); DeleteFile('C:\WINDOWS\system32\36.exe'); DeleteFile('C:\WINDOWS\system32\42.exe'); DeleteFile('C:\WINDOWS\system32\47.exe'); DeleteFile('C:\WINDOWS\system32\52.exe'); DeleteFile('C:\WINDOWS\system32\54.exe'); DeleteFile('C:\WINDOWS\system32\55.exe'); DeleteFile('C:\WINDOWS\system32\61.exe'); DeleteFile('C:\WINDOWS\system32\62.exe'); DeleteFile('C:\WINDOWS\system32\70.exe'); DeleteFile('C:\WINDOWS\system32\72.exe'); DeleteFile('C:\WINDOWS\system32\78.exe'); DeleteFile('C:\WINDOWS\system32\80.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Уверен. вирусы! но нужна вша помощь!!!! | Пeneral Volf | Безопасность | 4 | 09.01.2011 16:00 |
Подозрение на вирусы. | Sinlol | Безопасность | 10 | 04.01.2011 22:42 |
Подозрение на вирусы | Istarion | Безопасность | 6 | 11.11.2010 21:33 |
Есть подозрение на вирусы | nekto202 | Безопасность | 5 | 09.11.2010 01:24 |
Подозрение на вирусы. | SacredHash | Безопасность | 0 | 02.09.2010 19:56 |
Подозрение на вирусы | Слепой Пью | Безопасность | 2 | 07.06.2010 16:47 |
Подозрение на вирусы | Настя5 | Безопасность | 1 | 31.03.2010 21:47 |
Решено: Подозрение на вирусы | Ferera | Безопасность | 39 | 22.03.2010 07:38 |
Подозрение на вирусы | Vo Vo | Безопасность | 4 | 13.03.2010 10:35 |
Есть подозрение на вирусы | серый кот | Безопасность | 9 | 25.01.2010 18:43 |
Подозрение на вирусы | isx | Безопасность | 12 | 17.01.2010 20:22 |