chobanu_p_m Posted May 7, 2010 Report Share Posted May 7, 2010 началось все с 99% загрузки процессора. притом, только под одним конкретным пользователем. до этого долго (м.б месяц?) не обновлялся нод32 - не мог подключиться к серверу. под другим пользователем проводил диагностику и чистку. с помощью cureit были обнаружены множественные зараженные файлы в system32. вроде как удалены. но загрузить eset.com мне до сих пор не удается. также не удается запустить rsit.exe. выдает собщение об ошибке: "line 1122. error: variable used without being declared". принтскрин прилагаю. переименовывать файл пробовал. не помогло. лог hijackthis также прилагаю. запускал avz на выполнение стандартных скриптов 2 и 3. логи прилагаю в виде двух архивов (постфиксы 2 и 3, соответственно). на данном этапе пытаюсь в безопастном режиме запустить cureit. не могу дождаться окончания даже предварительной проверки. очень тормозит в папке драйверов. до этого проводил проверку с помощью cureit в нормальном режиме. как побороть заразу?? заранее благодарен hijackthis.log avz_LOG2.ZIP avz_LOG3.ZIP hijackthis.log avz_LOG2.ZIP avz_LOG3.ZIP Quote Link to comment Share on other sites More sharing options...
edde Posted May 7, 2010 Report Share Posted May 7, 2010 Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('\\?\globalroot\systemroot\system32\rgkkew1.exe','');QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');DeleteFile('\\?\globalroot\systemroot\system32\rgkkew1.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(20);RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. карантин отправьте на ящик myedde@mail.ru Повторте логи Quote Link to comment Share on other sites More sharing options...
thyrex Posted May 7, 2010 Report Share Posted May 7, 2010 (edited) Дополнительно к совету edde Пофиксите в hijack F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\yu8A29Q.exe,\\?\globalroot\systemroot\system32\rgkKEw1.exe, Повторные логи делайте в нормальном режиме Edited May 7, 2010 by thyrex Quote Link to comment Share on other sites More sharing options...
chobanu_p_m Posted May 7, 2010 Author Report Share Posted May 7, 2010 вах! заработало! спасибо!! Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('\\?\globalroot\systemroot\system32\rgkkew1.exe','');QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');DeleteFile('\\?\globalroot\systemroot\system32\rgkkew1.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(20);RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. карантин отправьте на ящик myedde@mail.ru Повторте логи лог hijackthis.log hijackthis.log Quote Link to comment Share on other sites More sharing options...
edde Posted May 7, 2010 Report Share Posted May 7, 2010 Лог RSIT сделайте и комплект логов авз Quote Link to comment Share on other sites More sharing options...
chobanu_p_m Posted May 7, 2010 Author Report Share Posted May 7, 2010 info.txt log.txt info.txt log.txt Quote Link to comment Share on other sites More sharing options...
chobanu_p_m Posted May 7, 2010 Author Report Share Posted May 7, 2010 Лог RSIT сделайте и комплект логов авз avz_LOG3.RAR avz_LOG3.RAR Quote Link to comment Share on other sites More sharing options...
edde Posted May 7, 2010 Report Share Posted May 7, 2010 выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\CDoN4YB.exe','');QuarantineFile('C:\WINDOWS\system32\dk0OJt4.exe','');QuarantineFile('C:\WINDOWS\system32\FiKP8yA.exe','');QuarantineFile('C:\WINDOWS\system32\jVstyvJ.exe','');QuarantineFile('C:\WINDOWS\system32\OT7fhsf.exe','');QuarantineFile('C:\WINDOWS\system32\S7PjQxJ.exe','');DeleteFile('C:\WINDOWS\system32\CDoN4YB.exe');DeleteFile('C:\WINDOWS\system32\dk0OJt4.exe');DeleteFile('C:\WINDOWS\system32\FiKP8yA.exe');DeleteFile('C:\WINDOWS\system32\jVstyvJ.exe');DeleteFile('C:\WINDOWS\system32\OT7fhsf.exe');DeleteFile('C:\WINDOWS\system32\S7PjQxJ.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. карантин отправьте на ящик myedde@mail.ru плюс Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. После этого повторте логи Quote Link to comment Share on other sites More sharing options...
chobanu_p_m Posted May 7, 2010 Author Report Share Posted May 7, 2010 После этого повторте логи info.txt log.txt mbam_log_2010_05_07__21_43_21_.txt avz_LOG3.RAR info.txt log.txt mbam_log_2010_05_07__21_43_21_.txt avz_LOG3.RAR Quote Link to comment Share on other sites More sharing options...
edde Posted May 7, 2010 Report Share Posted May 7, 2010 Выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('wskj.sys','');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Карантин вышлите куда и раньше на ящик myedde@mail.ru Quote Link to comment Share on other sites More sharing options...
chobanu_p_m Posted May 7, 2010 Author Report Share Posted May 7, 2010 Карантин вышлите куда и раньше на ящик myedde@mail.ru как же тернист путь очистки компьютера от вирусов карантин ушел на почту Quote Link to comment Share on other sites More sharing options...
edde Posted May 7, 2010 Report Share Posted May 7, 2010 Как самочувствие? Quote Link to comment Share on other sites More sharing options...
chobanu_p_m Posted May 8, 2010 Author Report Share Posted May 8, 2010 Как самочувствие? симптомы-то прошли после первой итерации. пока вроде нет признаков их повторения. спасибо! Quote Link to comment Share on other sites More sharing options...
edde Posted May 8, 2010 Report Share Posted May 8, 2010 Тогда будьте здоровы :) Quote Link to comment Share on other sites More sharing options...
chobanu_p_m Posted May 9, 2010 Author Report Share Posted May 9, 2010 Тогда будьте здоровы :) спасибо! только хотел полюбопытствовать этот скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('wskj.sys','');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. , помимо прочего, привел к тому, что компьютер несколько раз выключился, когда я его выключал (довольно давно он в результате выключения перезагружается и мне никак не удается это побороть). это может иметь какое-то отношение к заражению? или всего лишь случайность? просто иногда подобное происходило раньше, но в единичном варианте. а тут трижды подряд. теперь снова перезагружается, а не выключается. Quote Link to comment Share on other sites More sharing options...
edde Posted May 9, 2010 Report Share Posted May 9, 2010 Тогда продолжим, не всё мне нравится в этом драйвере но в карантин он не попал, по вашим прошлым карантинам C:\WINDOWS\system32\CDoN4YB.exe - win32:bredolab Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Строго следуйте инструкциям Quote Link to comment Share on other sites More sharing options...
chobanu_p_m Posted May 10, 2010 Author Report Share Posted May 10, 2010 Подробнее в "ComboFix. Руководство по применению." Строго следуйте инструкциям log.txt log.txt Quote Link to comment Share on other sites More sharing options...
edde Posted May 10, 2010 Report Share Posted May 10, 2010 Антивирус надо было отключить и выгрузить. Страшного ничего не вижу, что с проблемой отключения питания? Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img] Quote Link to comment Share on other sites More sharing options...
chobanu_p_m Posted May 10, 2010 Author Report Share Posted May 10, 2010 Антивирус надо было отключить и выгрузить. Страшного ничего не вижу, что с проблемой отключения питания?т.е совсем или на время проверки?отключить я его смог, а совсем выгрузить нет. не знаю как. по питанию - не удается отключить компьютер с помощью ОС. только длительным нажатием на клавишу power проделал предложенное. компьютер успешно выключился. надеюсь, подобное поведение сохранится. спасибо!! Quote Link to comment Share on other sites More sharing options...
edde Posted May 10, 2010 Report Share Posted May 10, 2010 (edited) Очень хорошо, не болейте :) Edited May 10, 2010 by edde Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.