Тема не новая, вирус грузит ОП.

Савелий · 19.12.2010, 18:34

Тема не новая, вирус грузит ОП на 100-200 Мб при общей 256. Компьютер древненький.Каспер молчит, но при общей проверке каждый раз находит и удаляет в карантин одно и тоже: вирус HEUR:Trojan.Win32.Generic. Сначала было три копии: в подпапке System Volume Information RP298 2шт в файлах в виде самораскрывающегося архива A0118063.exe и A0118064.exe. Потом эта папка исчезла (!?). В подпапке RP308 один, потом в RP311 один. После отключения системы восстановления этих папок уже нет. В свежей папке RP1 вирусов еще нет. Но комп тормозит, значит скоро объявится.
Судя по AnVir Task Manager, идут скрытые процессы, которые к тому же, видимо, провоцируют активнейшую работу avp. Был еще вирус, но нот после удаления не показывается.
Месяц уже пытаюсь что-то сделать, спецов вызывал, без толку. Помогите, плз.
Сделал, как рекомендовано. Загрузки на эксфайл: 144098 и144099. Картинка Диспетчера д.б. качественной, аж 700 Кб, но загрузить сюда не удалось, поэтому отправил на эксфайл за № 144150.
Жду, на вас вся надежда.

Iljeben · 19.12.2010, 18:51

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;

begin 
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ServiceKill('usncm');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Савелий · 20.12.2010, 16:50

Спасибо за быстрый ответ. Все сделал как написано. Только после скрипта комп не перезагрузился. Я ждал ждал и перегрузился вручную.
На эксфайле файл № 144367

Iljeben · 20.12.2010, 17:23

Пришлите такой лог:

Цитата:

1. Скачайте установочный файл mbam-setup.exe
Здесь: http://www.besttechie.net/mbam/mbam-setup.exe
Или ссылка здесь: http://www.malwarebytes.org/mbam-download.php
2. Установите ее по стандартному пути с настройками по умолчанию.
3. Обновите базы программы!!!
4. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний)!!!
5. По окончании сканирования будет сгенерирован лог.
6. Залейте его без переименования на файлообменник и ссылку выложите на форум.

INETBOY · 20.12.2010, 17:38

Столкнулся вот с такой проблемой:
каждый раз при включении компьютера, около 100 раз запускается одна и та же непонятная программа, которая видна только в диспетчере задач, а комп виснет. Удаляю задачу и все норм. Каспер молчит. Пожалуйста помогите!

Савелий · 21.12.2010, 01:28

Сделал как написано. Во время сканирования выскочило сообщение, что доступ к защищенным файлам закрыт. К каким именно, рассмотреть не успел. Файл на эксфайл № 144498.

set of letters · 21.12.2010, 02:34

INETBOY, http://pchelpforum.ru/f26/t6442/#post37758

Iljeben · 21.12.2010, 02:35

Удалите в МВАМ:

Цитата:

Заражённые файлы:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\69K9SBUJ\myjrr[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\DJVCITT9\mtqvmfj[1].bmp (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\K123SP67\hwlgb[1].png (Extension.Mismatch) -> No action taken.
c:\system volume information\_restore{d2cdfd27-5ab4-4c9c-a3c2-064d05844131}\RP2\A0000256.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\a.htm (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\aview (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\logo_____.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Савелий\application data\winxrar\winrar.exe (Trojan.Agent) -> No action taken.

Пришлите новый лог AVZ.

Савелий · 22.12.2010, 00:51

Удалил, перезагрузился. В порядке дилетантской инициативы запустил проверку реестра Reg Organizer, набралось более 300проблем, в основном несуществующие ссылки и несуществующие ключи. Все исправилось, перезагрузился, лучше, но не значительно. Р. стол стал работать исправно, меню "Пуск" выскакивает сразу, но ОЛ перегружена по прежнему и приложения тормозят по прежнему. Поскольку не было указано, какие логи сделать, сделал оба скрипта 2 и 3. №№ на эксфайл 144762 и 144764.

Iljeben · 22.12.2010, 01:02

А если отключить Каспера тормоза наблюдаются?

Савелий · 22.12.2010, 17:35

Никакой разницы я не заметил.

---------- Добавлено в 17:35 ---------- Предыдущее сообщение было написано в 14:07 ----------

Ради интереса сделал полное сканирование в мамбе. Появилось кое-что новенькое. На диске D все удалил. Лог на эксфайле 144904.

Iljeben · 22.12.2010, 19:39

Цитата:

Сообщение от Савелий

Появилось кое-что новенькое.

Не удаляйте ничего, ложный детект МВАМ. Плюс если удалите, есть хороший шанс убить активатор и не загрузиться больше в систему.

Савелий · 23.12.2010, 13:09

Как я понимаю, на диске D, к тому же он физический, не может быть ничего серьезного от системы. Поэтому я и удалил. Но на будущее замечание обязательно учту.
Когда система начинает совсем уж тормозить, я делаю автоматическую чистку реестра и очитску диска в Reg Organizer. После этого копм некоторое время работает в пределах терпежа.В ошибкакх реестра постоянно появляются ошибочные ключи от 3 до 7. Все хорошо исправляется, но потом все повторяется. Сегодня нестандартный случай, всего один ошибочный ключ. При чистке диска каждый раз кучка ненужных файлов, ссылок и т.д. На этот раз тоже всего поменьше. Но что интересно. Каждый раз обязательно показывается файл edb.chk в числе от 1 до3. Исправно удаляется и также появляется. Списки ошибок на эксфайл 145090 и 145091.
Вчера при выключении заметил очень странную вещь. Комп не только медленно загружается, но и медленно выключается. Каждый раз появляется сообщения типа "подождите завершения программы скайп" и т.п. Но тут появилось сообщение подождите завершения программ со странным названием из набора букв. Я успел запомнить первые три nsA... В поиске нашлось какое-то приложение к яваскрипт Мазилы размером 15 Кб с лейбой в виде свитка пергамента. На программу никак не тянет. Ничего подобного я не замечал ни в диспетчере задач, ни в мониторе AnVir Task Manager. Как это посмотреть в автозагрузке я не знаю. Но думаю в автозагрузке этого хитрого зверя тоже не увидишь.
Очень надеюсь, что эта информация поможет решить мои проблемы.

Савелий · 24.12.2010, 14:09

Уважаемый Iljeben, что-то от вас нет ответа. Или проблема оказалась не по силам, или необходимо систему переставлять. Скажите чего-нибудь, чтоб я дальше чего-то думал.

snifer67 · 25.12.2010, 11:52

Цитата:

Я успел запомнить первые три nsA... В поиске нашлось какое-то приложение к яваскрипт Мазилы размером 15 Кб с лейбой в виде свитка пергамента. На программу никак не тянет.

Попробуйте удалить это приложение из дополнений в мозиле.

19.12.2010, 18:34	#1 (ссылка)
Савелий Новичок Регистрация: 19.12.2010 Сообщений: 8 Репутация: 0	Тема не новая, вирус грузит ОП. Тема не новая, вирус грузит ОП на 100-200 Мб при общей 256. Компьютер древненький.Каспер молчит, но при общей проверке каждый раз находит и удаляет в карантин одно и тоже: вирус HEUR:Trojan.Win32.Generic. Сначала было три копии: в подпапке System Volume Information RP298 2шт в файлах в виде самораскрывающегося архива A0118063.exe и A0118064.exe. Потом эта папка исчезла (!?). В подпапке RP308 один, потом в RP311 один. После отключения системы восстановления этих папок уже нет. В свежей папке RP1 вирусов еще нет. Но комп тормозит, значит скоро объявится. Судя по AnVir Task Manager, идут скрытые процессы, которые к тому же, видимо, провоцируют активнейшую работу avp. Был еще вирус, но нот после удаления не показывается. Месяц уже пытаюсь что-то сделать, спецов вызывал, без толку. Помогите, плз. Сделал, как рекомендовано. Загрузки на эксфайл: 144098 и144099. Картинка Диспетчера д.б. качественной, аж 700 Кб, но загрузить сюда не удалось, поэтому отправил на эксфайл за № 144150. Жду, на вас вся надежда.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Свободная тема (часть 1)	Yudziro	Общение по интересам	11498	23.03.2014 03:23
Позитивная тема	A-Lexx	Общение по интересам	6	08.01.2011 16:55
Негативная тема	A-Lexx	Общение по интересам	3	08.01.2011 01:27
RSS тема от Bing	Александр33	Windows 7	0	30.12.2010 10:34
винда не грузит интерф. диска читает но не грузит	амир	Windows XP	1	01.10.2010 20:50
Футбольная тема!	znatok-jurij	Общение по интересам	34	08.09.2010 00:03
Тема Aero для SP3	igor love	Windows XP	15	12.04.2010 21:23
Куда пропала тема?	мистер-х	О форуме	2	12.04.2010 10:11
Тема XP	pushist	Windows XP	4	13.09.2009 10:31
Не меняется классическая тема в XP	tina	Windows XP	2	10.02.2009 20:07

20.12.2010, 16:50	#3 (ссылка)
Савелий Новичок Регистрация: 19.12.2010 Сообщений: 8 Репутация: 0	Спасибо за быстрый ответ. Все сделал как написано. Только после скрипта комп не перезагрузился. Я ждал ждал и перегрузился вручную. На эксфайле файл № 144367

20.12.2010, 17:38	#5 (ссылка)
INETBOY Новичок Регистрация: 20.12.2010 Сообщений: 1 Репутация: 0	Столкнулся вот с такой проблемой: каждый раз при включении компьютера, около 100 раз запускается одна и та же непонятная программа, которая видна только в диспетчере задач, а комп виснет. Удаляю задачу и все норм. Каспер молчит. Пожалуйста помогите!

21.12.2010, 01:28	#6 (ссылка)
Савелий Новичок Регистрация: 19.12.2010 Сообщений: 8 Репутация: 0	Сделал как написано. Во время сканирования выскочило сообщение, что доступ к защищенным файлам закрыт. К каким именно, рассмотреть не успел. Файл на эксфайл № 144498.

21.12.2010, 02:34	#7 (ссылка)
set of letters Специалист Регистрация: 05.02.2009 Сообщений: 9,227 Репутация: 321	INETBOY, http://pchelpforum.ru/f26/t6442/#post37758

22.12.2010, 00:51	#9 (ссылка)
Савелий Новичок Регистрация: 19.12.2010 Сообщений: 8 Репутация: 0	Удалил, перезагрузился. В порядке дилетантской инициативы запустил проверку реестра Reg Organizer, набралось более 300проблем, в основном несуществующие ссылки и несуществующие ключи. Все исправилось, перезагрузился, лучше, но не значительно. Р. стол стал работать исправно, меню "Пуск" выскакивает сразу, но ОЛ перегружена по прежнему и приложения тормозят по прежнему. Поскольку не было указано, какие логи сделать, сделал оба скрипта 2 и 3. №№ на эксфайл 144762 и 144764.

22.12.2010, 01:02	#10 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	А если отключить Каспера тормоза наблюдаются?

22.12.2010, 17:35	#11 (ссылка)
Савелий Новичок Регистрация: 19.12.2010 Сообщений: 8 Репутация: 0	Никакой разницы я не заметил. ---------- Добавлено в 17:35 ---------- Предыдущее сообщение было написано в 14:07 ---------- Ради интереса сделал полное сканирование в мамбе. Появилось кое-что новенькое. На диске D все удалил. Лог на эксфайле 144904.

23.12.2010, 13:09	#13 (ссылка)
Савелий Новичок Регистрация: 19.12.2010 Сообщений: 8 Репутация: 0	Как я понимаю, на диске D, к тому же он физический, не может быть ничего серьезного от системы. Поэтому я и удалил. Но на будущее замечание обязательно учту. Когда система начинает совсем уж тормозить, я делаю автоматическую чистку реестра и очитску диска в Reg Organizer. После этого копм некоторое время работает в пределах терпежа.В ошибкакх реестра постоянно появляются ошибочные ключи от 3 до 7. Все хорошо исправляется, но потом все повторяется. Сегодня нестандартный случай, всего один ошибочный ключ. При чистке диска каждый раз кучка ненужных файлов, ссылок и т.д. На этот раз тоже всего поменьше. Но что интересно. Каждый раз обязательно показывается файл edb.chk в числе от 1 до3. Исправно удаляется и также появляется. Списки ошибок на эксфайл 145090 и 145091. Вчера при выключении заметил очень странную вещь. Комп не только медленно загружается, но и медленно выключается. Каждый раз появляется сообщения типа "подождите завершения программы скайп" и т.п. Но тут появилось сообщение подождите завершения программ со странным названием из набора букв. Я успел запомнить первые три nsA... В поиске нашлось какое-то приложение к яваскрипт Мазилы размером 15 Кб с лейбой в виде свитка пергамента. На программу никак не тянет. Ничего подобного я не замечал ни в диспетчере задач, ни в мониторе AnVir Task Manager. Как это посмотреть в автозагрузке я не знаю. Но думаю в автозагрузке этого хитрого зверя тоже не увидишь. Очень надеюсь, что эта информация поможет решить мои проблемы.

24.12.2010, 14:09	#14 (ссылка)
Савелий Новичок Регистрация: 19.12.2010 Сообщений: 8 Репутация: 0	Уважаемый Iljeben, что-то от вас нет ответа. Или проблема оказалась не по силам, или необходимо систему переставлять. Скажите чего-нибудь, чтоб я дальше чего-то думал.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads