planet_222 Posted June 3, 2009 Report Share Posted June 3, 2009 Доброго дня всем! Стала беспокоить медлительность и задумчивость компьютера, сообщения о переполнении памяти. Проделал все необходимые манипуляции по обследованию, но ничего обнаружить не удалось. В логе HijackHtis две записи 023 с потерянным файлом - не удаляются. По окончании обследования повторил исследование hijackhtis и обнаружил появление новых строк R0 и R1 (раньше там была только одна, запуск стартовой страницы rambler). Не знаю, имеет ли это значение, был у нас эпизод инфицирования трояном F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe, Вроде бы, вылечились и долгое время ничего не беспокоило. Прошу помощи! Посмотрите, что-то тут не так. log.rar log.rar Link to comment Share on other sites More sharing options...
Pili Posted June 4, 2009 Report Share Posted June 4, 2009 Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) и проверьте на http://www.virustotal.com/ или http://virscan.org/ файлы: C:\WINDOWS\system32\drivers\Nttmsk.sysC:\WINDOWS\system32\DarkSpyKernel.sysC:\WINDOWS\system32\drivers\SFC4.sysC:\Documents and Settings\alex\Desktop\full crack\vfd\vfd.sys Результаты проверки выложите в сообщение или дайте на них ссылку. Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить». beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\drivers\Nttmsk.sys','');QuarantineFile('C:\Documents and Settings\alex\Desktop\full crack\vfd\vfd.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\SFC4.sys','');QuarantineFile('C:\WINDOWS\system32\DarkSpyKernel.sys','');QuarantineFile('C:\WINDOWS\system32\ati2ksag.sys','');DeleteFile('C:\WINDOWS\system32\ati2ksag.sys');DeleteService('ati2ksag');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите Рекомендую обновить Java Запустите AVZ. В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) Скачайте gmer со случайным именем файла(рекомендуется) здесь, либо gmer.zip здесь или здесь, закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора). После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Внимание! Если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов • Sections • IAT/EAT • Show all Link to comment Share on other sites More sharing options...
planet_222 Posted June 8, 2009 Author Report Share Posted June 8, 2009 Добрый вечер! Огромное спасибо, Pili, за помощь! Ни одного из указанных Вами файлов найти не смог (вообще). C:\WINDOWS\system32\drivers\Nttmsk.sys C:\WINDOWS\system32\DarkSpyKernel.sys C:\WINDOWS\system32\drivers\SFC4.sys C:\Documents and Settings\alex\Desktop\full crack\vfd\vfd.sys Ни с помощью Far, ни AVZ. Далее запустил первый скрипт. Скрипт был выполнен, однако перезагрузить компьютер пришлось через reset, сам он с этим не справился. Запустил второй скрипт и отправил архив Касперскому (ответ ожидаю). Переустановил Java Проверил систему Gmer (до этого применял Vundofix)? вроде бы ничего не обнаружил. Новые логи прилагаю. virusinfo_syscheck.zip log.log virusinfo_syscheck.zip log.log Link to comment Share on other sites More sharing options...
thyrex Posted June 8, 2009 Report Share Posted June 8, 2009 Лог gmer после нажатия на Scan? Если нет, то прочтите еще раз внимательно, как правильно сделать лог gmer Link to comment Share on other sites More sharing options...
planet_222 Posted June 9, 2009 Author Report Share Posted June 9, 2009 Лог gmer после нажатия на Scan? Если нет, то прочтите еще раз внимательно, как правильно сделать лог gmer Да, лог gmer. Выполнил все, как было рекомендовано. Кстати, пришел ответ от Касперского: ничего вредоносного не обнаружено. :blushing: ???? Link to comment Share on other sites More sharing options...
Alex56 Posted June 14, 2009 Report Share Posted June 14, 2009 А где сам лог то? Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now