Drru Опубликовано 21 июля, 2010 Опубликовано 21 июля, 2010 Попросили посмотреть компьютер. Система зверь, сильно порушена. Ладно, с этим справился. Начал подключать к интернету. Большое здание, свой провайдер, выделяется статичный IP адрес. Подключил и сразу, через секунду компьютер завис. Процесс svchost.exe 100%. Стоит CRYSTAL. Говорят, что так же было до лечения. После лечения система рухнула. Kaspersky Virus Removal Tool 2010 ничего не нашёл. Тормоза жуткие. Посмотрите пожалуйста, может быть, что нибудь найдёте. avptool_sysinfo.zip
cathode Опубликовано 21 июля, 2010 Опубликовано 21 июля, 2010 (изменено) Удалите Др.Веб, Аутпост и Авиру. Возможны тормоза из-за этого. C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exeC:\WINDOWS\System32\tssdis.exe проверьте на ВирусТотал. И сделайте логи по правилам. Изменено 21 июля, 2010 пользователем [@thodE
DaTa Опубликовано 21 июля, 2010 Опубликовано 21 июля, 2010 (изменено) Сообщение от модератора thyrex DaTa, Вы не входите в число тех, кто может запрашивать карантин wwwznv32.exe - Worm.Win32.Pinit.OI Сообщение от модератора thyrex Есть варианты Backdoor, Bredavi Сейчас напишу скрипт для удаления. begin SearchRootkit(true,true); SetAvzGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','Kryptik'); QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe','Worm.Win32.Pinit.OI'); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); QuarantineFile('C:\Temp\esp647A.tmp',''); DeleteFile('C:\Temp\esp647A.tmp'); QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1644491938-601003312-1214\Lmhgpw.exe',''); DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491938-601003312-1214\Lmhgpw.exe'); DelCLSId('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); QuarantineFile('C:\SETUP\DATA\June.exe','Trojan-Dropper.Win32.Small.dkc'); DeleteFile('C:\SETUP\DATA\June.exe'); DelCLSId('67KLN5J0-4OPM-33WE-AAX5-34KC2A3453431'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. После перезагрузки выполните следующий скрипт для создания карантина: begin CreateQurantineArchive('C:\quarantine.zip'); end. Файл карантина отошлите на адрес: newvirus<at>tut.by (at = @). Скачайте авз с http://z-oleg.com/secur/avz , разархивируйте и обновите базы. Потом выполните скрипт №3. Пришлите новые логи выполненные скриптом. thyrex Я с карантинами ничего плохого не зделаю.:wink: wwwznv32.exe реверсил сам( точнее пробовал возможно уже появились и другие варианты ) Изменено 21 июля, 2010 пользователем thyrex поправил скрипт
Drru Опубликовано 22 июля, 2010 Автор Опубликовано 22 июля, 2010 Логи. hijackthis.log virusinfo_syscure.htm
thyrex Опубликовано 22 июля, 2010 Опубликовано 22 июля, 2010 Выполните скрипт в AVZ begin RegSearch('HKLM', '', 'esp647A.tmp'); SaveLog('c:\avz00.log'); end. Файл c:\avz00.log прикрепите к сообщению Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll',''); QuarantineFile('C:\Documents and Settings\User\Application Data\drm\drm.exe',''); DeleteFile('C:\Documents and Settings\User\Application Data\drm\drm.exe'); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@tut.by с указанной ссылкой на тему Сделайте новые логи Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Drru Опубликовано 23 июля, 2010 Автор Опубликовано 23 июля, 2010 Логи: avz00.log hijackthis.log virusinfo_syscheck.htm virusinfo_syscure.htm Combofix запустить не удалось. Точнее он запускается, но система падает в синий экран. Тормоза пропали. Но, только подключил интернет и, svchost.exe - 100%. Всё опять зависло. Ради интереса сделал (с трудом) ещё один лог на заторможенном компьютере. virusinfo_syscure.htm Вообще система глючит сильно ( например при перезагрузки, выключении падает в синий экран), скорее всего в эту субботу заберу компьютер у домой и переустановлю.
snifer67 Опубликовано 23 июля, 2010 Опубликовано 23 июля, 2010 Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
thyrex Опубликовано 23 июля, 2010 Опубликовано 23 июля, 2010 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); DeleteFile('%windir%\system32\drivers\sfc.sys'); QuarantineFile('%windir%\system32\sfcfiles.dll',''); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll'); DeleteFile('%windir%\system32\sfcfiles.bak'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\B496B29B'); RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Control\Print\Providers\B496B29B'); RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\vdewmtk3'); RegKeyDel('HKLM', 'SYSTEM\ControlSet005\Control\Print\Providers\B496B29B'); RegKeyDel('HKLM', 'SYSTEM\ControlSet006\Control\Print\Providers\B496B29B'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Удалить временно Outpost, отключить антивирус и пробовать сделать лог ComboFix
Joker_M Опубликовано 23 июля, 2010 Опубликовано 23 июля, 2010 КОроч проблемы с svchost. Отключил Dcom который вешал комп намертво virusinfo_syscheck.zip hijackthis.log hijackthis.log
snifer67 Опубликовано 23 июля, 2010 Опубликовано 23 июля, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\b2ee5ed0.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
thyrex Опубликовано 24 июля, 2010 Опубликовано 24 июля, 2010 А также Удалить временно Outpost, отключить антивирус и пробовать сделать лог ComboFix
Joker_M Опубликовано 26 июля, 2010 Опубликовано 26 июля, 2010 Показывает RSIT ошибку Autolt error - line 3903. Не идет
snifer67 Опубликовано 26 июля, 2010 Опубликовано 26 июля, 2010 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Joker_M Опубликовано 26 июля, 2010 Опубликовано 26 июля, 2010 (изменено) Ну вроде так Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe И вот это на выходе ComboFix.txt Изменено 26 июля, 2010 пользователем Joker_M
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти