Pianca Опубликовано 1 сентября, 2009 Жалоба Поделиться Опубликовано 1 сентября, 2009 (изменено) Добрый день. Недавно переустановили Windows, через некоторое время начал тупить интернет. Очень медленно открываются странички. Перестала работать Opera, Light Alloy. Антивирус NOD 32. Находил 2 раза троян. Выполнила ПРАВИЛА http://www.softboard.ru/index.php?showtopic=51343 Прикрепляю полученные логи: Заранее спасибо! i Уведомление:Убрал карантин. virusinfo_syscure.zip info.txt log.txt virusinfo_syscure.zip info.txt log.txt Изменено 1 сентября, 2009 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
миднайт Опубликовано 1 сентября, 2009 Жалоба Поделиться Опубликовано 1 сентября, 2009 (изменено) Закройте/выгрузите все программы кроме AVZ и Internet Explorer. - Отключите ПК от интернета/локалки - Отключите Антивирус и Файрвол. - Отключите Системное восстановление. Пофиксите строчки в HiKackThis: R3 - URLSearchHook: (no name) - - (no file)O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') Выполните скрипт в AVZ: beginSearchRootkit(true, true);SetAVZGuardStatus(True);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;ExecuteWizard('TSW',3,3,true);ExecuteRepair(4);RebootWindows(true);end. Логи повторите. C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\intro.exe - это известная вам программа? ! Предупреждение:Убрал спорную команду Изменено 1 сентября, 2009 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 1 сентября, 2009 Жалоба Поделиться Опубликовано 1 сентября, 2009 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginRegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Проверьте на www.virustotal.com (результат сообщите) C:\WINDOWS\System32\Drivers\sfc.SYS C:\WINDOWS\system32\sfcfiles.dll Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.(Подробнее) Включите AVZPM и повторите логи. Изменено 1 сентября, 2009 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Pianca Опубликовано 2 сентября, 2009 Автор Жалоба Поделиться Опубликовано 2 сентября, 2009 миднайт, Профиксила указанное. Скрипт скопировала и выполнила в AVZ, после чего компьютер не перезагружался. Пришлось воспользоваться кнопкой reset. Может не надо было? :) Программа intro.exe - это заставка при запуске Windows, такая же как аватарка у Akok. akoK , 1. Выполнила скрипт, архив отправила Вам на e-mail. 2. Почистила ATF Cleaner_ом. 3. Проверьте на www.virustotal.com (результат сообщите)C:\WINDOWS\System32\Drivers\sfc.SYS C:\WINDOWS\system32\sfcfiles.dll Этих файлов не нашла.4. Просканировала Malwarebytes' Anti-Malware. Нашлось 9 зараженных объектов. Отчет прилагается. 5. Запустила AVZPM-установить драйвер расширенного мониторинга процессов. 6. В AVZ выполнила скрипты 3 и 2. Логи прилагаются. При перезагрузке пишет 'A problem has been detected and Windows has been shut down to prevent damage to your compter'. mbam_log_2009_09_02__01_44_43_.txt virusinfo_syscheck.zip virusinfo_syscure.zip mbam_log_2009_09_02__01_44_43_.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 2 сентября, 2009 Жалоба Поделиться Опубликовано 2 сентября, 2009 (изменено) Провел глубокий поиск. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');QuarantineFile('C:\WINDOWS\system32\hidec','');DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Как использовать ComboFix - Руководство по применению Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Изменено 2 сентября, 2009 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти