shmeisser Опубликовано 27 февраля, 2011 Жалоба Поделиться Опубликовано 27 февраля, 2011 Привет всем, Нахватался чего-то неприятного...симптоиатика: страницы почти не грузятся ждешь в течении 5-10 мин., в поределенный момент искажение на десктопе и после этого отключает звук и перестают работать мультимедийные проигрыватели... Проверял согласно инструкции, логи прикладываю. Проверял CureIT,AVZ,NOD,SuperAntiSpyware,Malwarebytes Anti-Malware-находит лечит, но ситуация не исправляется. В безопасном режиме с поддержкой сетевых драйверов - все работает :-( Логи с MBAM Database version: 5880 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 27.02.2011 13:49:01 mbam-log-2011-02-27 (13-48-52).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 216548 Time elapsed: 20 minute(s), 56 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 2 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken. Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 27 февраля, 2011 Жалоба Поделиться Опубликовано 27 февраля, 2011 (изменено) выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\windows\system32\system.exe','');DeleteFile('c:\windows\system32\system.exe');RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Выполните второй скрипт var j:integer; NumStr:string;beginfor j:=0 to 999 dobegin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j);if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end;if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end;end;SaveLog(GetAVZDirectory + 'fystemRoot.log');end. Повторите логи Изменено 27 февраля, 2011 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
shmeisser Опубликовано 27 февраля, 2011 Автор Жалоба Поделиться Опубликовано 27 февраля, 2011 выполните скрипт авз Повторите логи Прикладываю логи AVZ и RSIT info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 27 февраля, 2011 Жалоба Поделиться Опубликовано 27 февраля, 2011 Почему логи делали из безопасного режима? NodLogin удалите, Как самочувствие? Ссылка на комментарий Поделиться на другие сайты Поделиться
shmeisser Опубликовано 5 марта, 2011 Автор Жалоба Поделиться Опубликовано 5 марта, 2011 Почему логи делали из безопасного режима? NodLogin удалите, Как самочувствие? Сорри, вот логи с рабочей системы. Скрипты помогли только в первое время, сейчас снова не почти не грузятся страницы, а после передергивания десктопа системой - отключается звук и не запускается мультимедийные приложения... virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 5 марта, 2011 Жалоба Поделиться Опубликовано 5 марта, 2011 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." Ссылка на комментарий Поделиться на другие сайты Поделиться
shmeisser Опубликовано 7 марта, 2011 Автор Жалоба Поделиться Опубликовано 7 марта, 2011 запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прикладываю лог файл Combofix combofixlog.txt combofixlog.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 7 марта, 2011 Жалоба Поделиться Опубликовано 7 марта, 2011 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll::File::c:\windows\system32\37.tmpc:\windows\system32\4B.tmpc:\documents and settings\ALFRED\Application Data\Skype\temp-kZHQFhYmflOsYZJxunTeUl05c:\documents and settings\ALFRED\Application Data\Skype\temp-uufxHGkcGBHbZa7Du5eVoJb6e:\fxdrv32.sysDriver::FXDrv32Registry::FileLook::DirLook::Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
shmeisser Опубликовано 13 марта, 2011 Автор Жалоба Поделиться Опубликовано 13 марта, 2011 Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Прикладываю лог файл log.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 13 марта, 2011 Жалоба Поделиться Опубликовано 13 марта, 2011 Гут Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Комплект стандартных логов авз и RSIT повторите. что с проблемами? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения