planet_222 Опубликовано 3 июня, 2009 Жалоба Поделиться Опубликовано 3 июня, 2009 Доброго дня всем! Стала беспокоить медлительность и задумчивость компьютера, сообщения о переполнении памяти. Проделал все необходимые манипуляции по обследованию, но ничего обнаружить не удалось. В логе HijackHtis две записи 023 с потерянным файлом - не удаляются. По окончании обследования повторил исследование hijackhtis и обнаружил появление новых строк R0 и R1 (раньше там была только одна, запуск стартовой страницы rambler). Не знаю, имеет ли это значение, был у нас эпизод инфицирования трояном F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe, Вроде бы, вылечились и долгое время ничего не беспокоило. Прошу помощи! Посмотрите, что-то тут не так. log.rar log.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 4 июня, 2009 Жалоба Поделиться Опубликовано 4 июня, 2009 Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) и проверьте на http://www.virustotal.com/ или http://virscan.org/ файлы: C:\WINDOWS\system32\drivers\Nttmsk.sysC:\WINDOWS\system32\DarkSpyKernel.sysC:\WINDOWS\system32\drivers\SFC4.sysC:\Documents and Settings\alex\Desktop\full crack\vfd\vfd.sys Результаты проверки выложите в сообщение или дайте на них ссылку. Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить». beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\drivers\Nttmsk.sys','');QuarantineFile('C:\Documents and Settings\alex\Desktop\full crack\vfd\vfd.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\SFC4.sys','');QuarantineFile('C:\WINDOWS\system32\DarkSpyKernel.sys','');QuarantineFile('C:\WINDOWS\system32\ati2ksag.sys','');DeleteFile('C:\WINDOWS\system32\ati2ksag.sys');DeleteService('ati2ksag');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите Рекомендую обновить Java Запустите AVZ. В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) Скачайте gmer со случайным именем файла(рекомендуется) здесь, либо gmer.zip здесь или здесь, закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора). После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Внимание! Если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов • Sections • IAT/EAT • Show all Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
planet_222 Опубликовано 8 июня, 2009 Автор Жалоба Поделиться Опубликовано 8 июня, 2009 Добрый вечер! Огромное спасибо, Pili, за помощь! Ни одного из указанных Вами файлов найти не смог (вообще). C:\WINDOWS\system32\drivers\Nttmsk.sys C:\WINDOWS\system32\DarkSpyKernel.sys C:\WINDOWS\system32\drivers\SFC4.sys C:\Documents and Settings\alex\Desktop\full crack\vfd\vfd.sys Ни с помощью Far, ни AVZ. Далее запустил первый скрипт. Скрипт был выполнен, однако перезагрузить компьютер пришлось через reset, сам он с этим не справился. Запустил второй скрипт и отправил архив Касперскому (ответ ожидаю). Переустановил Java Проверил систему Gmer (до этого применял Vundofix)? вроде бы ничего не обнаружил. Новые логи прилагаю. virusinfo_syscheck.zip log.log virusinfo_syscheck.zip log.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 8 июня, 2009 Жалоба Поделиться Опубликовано 8 июня, 2009 Лог gmer после нажатия на Scan? Если нет, то прочтите еще раз внимательно, как правильно сделать лог gmer Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
planet_222 Опубликовано 9 июня, 2009 Автор Жалоба Поделиться Опубликовано 9 июня, 2009 Лог gmer после нажатия на Scan? Если нет, то прочтите еще раз внимательно, как правильно сделать лог gmer Да, лог gmer. Выполнил все, как было рекомендовано. Кстати, пришел ответ от Касперского: ничего вредоносного не обнаружено. :blushing: ???? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex56 Опубликовано 14 июня, 2009 Жалоба Поделиться Опубликовано 14 июня, 2009 А где сам лог то? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.