chobanu_p_m Опубликовано 7 мая, 2010 Жалоба Поделиться Опубликовано 7 мая, 2010 началось все с 99% загрузки процессора. притом, только под одним конкретным пользователем. до этого долго (м.б месяц?) не обновлялся нод32 - не мог подключиться к серверу. под другим пользователем проводил диагностику и чистку. с помощью cureit были обнаружены множественные зараженные файлы в system32. вроде как удалены. но загрузить eset.com мне до сих пор не удается. также не удается запустить rsit.exe. выдает собщение об ошибке: "line 1122. error: variable used without being declared". принтскрин прилагаю. переименовывать файл пробовал. не помогло. лог hijackthis также прилагаю. запускал avz на выполнение стандартных скриптов 2 и 3. логи прилагаю в виде двух архивов (постфиксы 2 и 3, соответственно). на данном этапе пытаюсь в безопастном режиме запустить cureit. не могу дождаться окончания даже предварительной проверки. очень тормозит в папке драйверов. до этого проводил проверку с помощью cureit в нормальном режиме. как побороть заразу?? заранее благодарен hijackthis.log avz_LOG2.ZIP avz_LOG3.ZIP hijackthis.log avz_LOG2.ZIP avz_LOG3.ZIP Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 7 мая, 2010 Жалоба Поделиться Опубликовано 7 мая, 2010 Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('\\?\globalroot\systemroot\system32\rgkkew1.exe','');QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');DeleteFile('\\?\globalroot\systemroot\system32\rgkkew1.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(20);RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. карантин отправьте на ящик myedde@mail.ru Повторте логи Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 7 мая, 2010 Жалоба Поделиться Опубликовано 7 мая, 2010 (изменено) Дополнительно к совету edde Пофиксите в hijack F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\yu8A29Q.exe,\\?\globalroot\systemroot\system32\rgkKEw1.exe, Повторные логи делайте в нормальном режиме Изменено 7 мая, 2010 пользователем thyrex Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
chobanu_p_m Опубликовано 7 мая, 2010 Автор Жалоба Поделиться Опубликовано 7 мая, 2010 вах! заработало! спасибо!! Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('\\?\globalroot\systemroot\system32\rgkkew1.exe','');QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');DeleteFile('\\?\globalroot\systemroot\system32\rgkkew1.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(20);RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. карантин отправьте на ящик myedde@mail.ru Повторте логи лог hijackthis.log hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 7 мая, 2010 Жалоба Поделиться Опубликовано 7 мая, 2010 Лог RSIT сделайте и комплект логов авз Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
chobanu_p_m Опубликовано 7 мая, 2010 Автор Жалоба Поделиться Опубликовано 7 мая, 2010 info.txt log.txt info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
chobanu_p_m Опубликовано 7 мая, 2010 Автор Жалоба Поделиться Опубликовано 7 мая, 2010 Лог RSIT сделайте и комплект логов авз avz_LOG3.RAR avz_LOG3.RAR Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 7 мая, 2010 Жалоба Поделиться Опубликовано 7 мая, 2010 выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\CDoN4YB.exe','');QuarantineFile('C:\WINDOWS\system32\dk0OJt4.exe','');QuarantineFile('C:\WINDOWS\system32\FiKP8yA.exe','');QuarantineFile('C:\WINDOWS\system32\jVstyvJ.exe','');QuarantineFile('C:\WINDOWS\system32\OT7fhsf.exe','');QuarantineFile('C:\WINDOWS\system32\S7PjQxJ.exe','');DeleteFile('C:\WINDOWS\system32\CDoN4YB.exe');DeleteFile('C:\WINDOWS\system32\dk0OJt4.exe');DeleteFile('C:\WINDOWS\system32\FiKP8yA.exe');DeleteFile('C:\WINDOWS\system32\jVstyvJ.exe');DeleteFile('C:\WINDOWS\system32\OT7fhsf.exe');DeleteFile('C:\WINDOWS\system32\S7PjQxJ.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. карантин отправьте на ящик myedde@mail.ru плюс Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. После этого повторте логи Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
chobanu_p_m Опубликовано 7 мая, 2010 Автор Жалоба Поделиться Опубликовано 7 мая, 2010 После этого повторте логи info.txt log.txt mbam_log_2010_05_07__21_43_21_.txt avz_LOG3.RAR info.txt log.txt mbam_log_2010_05_07__21_43_21_.txt avz_LOG3.RAR Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 7 мая, 2010 Жалоба Поделиться Опубликовано 7 мая, 2010 Выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('wskj.sys','');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Карантин вышлите куда и раньше на ящик myedde@mail.ru Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
chobanu_p_m Опубликовано 7 мая, 2010 Автор Жалоба Поделиться Опубликовано 7 мая, 2010 Карантин вышлите куда и раньше на ящик myedde@mail.ru как же тернист путь очистки компьютера от вирусов карантин ушел на почту Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 7 мая, 2010 Жалоба Поделиться Опубликовано 7 мая, 2010 Как самочувствие? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
chobanu_p_m Опубликовано 8 мая, 2010 Автор Жалоба Поделиться Опубликовано 8 мая, 2010 Как самочувствие? симптомы-то прошли после первой итерации. пока вроде нет признаков их повторения. спасибо! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 8 мая, 2010 Жалоба Поделиться Опубликовано 8 мая, 2010 Тогда будьте здоровы :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
chobanu_p_m Опубликовано 9 мая, 2010 Автор Жалоба Поделиться Опубликовано 9 мая, 2010 Тогда будьте здоровы :) спасибо! только хотел полюбопытствовать этот скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('wskj.sys','');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. , помимо прочего, привел к тому, что компьютер несколько раз выключился, когда я его выключал (довольно давно он в результате выключения перезагружается и мне никак не удается это побороть). это может иметь какое-то отношение к заражению? или всего лишь случайность? просто иногда подобное происходило раньше, но в единичном варианте. а тут трижды подряд. теперь снова перезагружается, а не выключается. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 9 мая, 2010 Жалоба Поделиться Опубликовано 9 мая, 2010 Тогда продолжим, не всё мне нравится в этом драйвере но в карантин он не попал, по вашим прошлым карантинам C:\WINDOWS\system32\CDoN4YB.exe - win32:bredolab Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Строго следуйте инструкциям Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
chobanu_p_m Опубликовано 10 мая, 2010 Автор Жалоба Поделиться Опубликовано 10 мая, 2010 Подробнее в "ComboFix. Руководство по применению." Строго следуйте инструкциям log.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 10 мая, 2010 Жалоба Поделиться Опубликовано 10 мая, 2010 Антивирус надо было отключить и выгрузить. Страшного ничего не вижу, что с проблемой отключения питания? Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img] Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
chobanu_p_m Опубликовано 10 мая, 2010 Автор Жалоба Поделиться Опубликовано 10 мая, 2010 Антивирус надо было отключить и выгрузить. Страшного ничего не вижу, что с проблемой отключения питания?т.е совсем или на время проверки?отключить я его смог, а совсем выгрузить нет. не знаю как. по питанию - не удается отключить компьютер с помощью ОС. только длительным нажатием на клавишу power проделал предложенное. компьютер успешно выключился. надеюсь, подобное поведение сохранится. спасибо!! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 10 мая, 2010 Жалоба Поделиться Опубликовано 10 мая, 2010 (изменено) Очень хорошо, не болейте :) Изменено 10 мая, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.