Gelios 0 Опубликовано 9 февраля, 2011 Share Опубликовано 9 февраля, 2011 Добрый вечер! Произвольно, происходит перезагрузка компьютера, (блок питания в норме, перегрева нет). перед этим на системе было удалено много вирусов(комп начал полностью зависать чистил сначала cURE it не помогло, затем приобрел KIS2011, установил почистил, проблема решилась) все было ок, теперь появилась данная проблема. Причем странно как-то сейчас нормально работает, перед этим несколько раз циклично перезагружался без полной загрузки ОС. Помогите плиз! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 9 февраля, 2011 Share Опубликовано 9 февраля, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('uzdvawmd', 4); SetServiceStart('rsmkvzhi', 4); SetServiceStart('qlpztltl', 4); SetServiceStart('omsfvvyv', 4); SetServiceStart('npljcmlu', 4); SetServiceStart('fkssyxzp', 4); StopService('uzdvawmd'); StopService('rsmkvzhi'); StopService('qlpztltl'); StopService('omsfvvyv'); StopService('npljcmlu'); StopService('fkssyxzp'); QuarantineFile('C:\WINDOWS\Installer\c7da6e.msi',''); QuarantineFile('C:\WINDOWS\System32\Drivers\uzdvawmd.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\rsmkvzhi.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\qlpztltl.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\omsfvvyv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\npljcmlu.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\fkssyxzp.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\fkssyxzp.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\npljcmlu.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\omsfvvyv.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\qlpztltl.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\rsmkvzhi.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\uzdvawmd.sys'); DeleteService('uzdvawmd'); DeleteService('rsmkvzhi'); DeleteService('qlpztltl'); DeleteService('omsfvvyv'); DeleteService('npljcmlu'); DeleteService('fkssyxzp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. После проведённого лечения рекомендуется установить следующие обновления: - установить SP3 для Windows XP - обновить Internet Explorer до версии 8.0 - все обновления на Windows XP - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии - обновить Adobe Shockwave Player до актуальной версии - обновить Adobe Flash Player до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Сделайте новые логи по правилам. + отчёт GSI http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906 Цитата Ссылка на сообщение Поделиться на другие сайты
Gelios 0 Опубликовано 9 февраля, 2011 Автор Share Опубликовано 9 февраля, 2011 Ок, сделаю. Большое спасибо за оперативный ответ ) Цитата Ссылка на сообщение Поделиться на другие сайты
Gelios 0 Опубликовано 10 февраля, 2011 Автор Share Опубликовано 10 февраля, 2011 (изменено) Спасибо, проблема вроде ушла, прилагаю отчеты после лечения, ссылка на отчет GSI. http://www.getsysteminfo.com/read.php?file...db9a43ef6746cb4 Ответ на запрос пока пришел тока такой "Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. bcqr00001.dat, bcqr00002.dat, c7da6e.msi Файлы в процессе обработки. С уважением, Лаборатория Касперского" virusinfo_syscheck.zip virusinfo_syscure.zip GetSystemInfo_MAMACOMP_Admin_2011_02_10_21_15_59.zip hijackthis.log Изменено 10 февраля, 2011 пользователем Gelios Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 10 февраля, 2011 Share Опубликовано 10 февраля, 2011 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\twxqx.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avntsc32.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avgstc32.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MCDT.exe',''); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MCDT.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avgstc32.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avntsc32.exe'); DeleteFile('C:\Documents and Settings\Admin\twxqx.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Avira Antivir'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft UneXpected'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driver Control Manager v1.0'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Gelios 0 Опубликовано 11 февраля, 2011 Автор Share Опубликовано 11 февраля, 2011 Спасибо за помощь! Вот новые логи: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 февраля, 2011 Share Опубликовано 12 февраля, 2011 выполняли? - обновить Java до актуальной версии- обновить Adobe Reader до актуальной версии - обновить Adobe Shockwave Player до актуальной версии - обновить Adobe Flash Player до актуальной версии по крайней мере Adobe Reader - устаревший. проверьте на virustotal.com C:\WINDOWS\Installer\c7da6e.msi C:\WINDOWS\system32\Adobe\Director\SwDir.dll приложите 2 ссылки на результаты проверки Деинсталлируйте Malwarebytes' Anti-Malware Очистите временные папки для этого скачайте ATF Cleaner http://majorgeeks.com/ATF_Cleaner_d4949.html запустите - select all (на всех вкладках) - empty selected Цитата Ссылка на сообщение Поделиться на другие сайты
Gelios 0 Опубликовано 13 февраля, 2011 Автор Share Опубликовано 13 февраля, 2011 Готово. Сейчас обновил также Adobe Acrobat. Обновлено все по списку ))) ссылки на результаты исследования virustotal http://www.virustotal.com/file-scan/report...3f45-1297600652 http://www.virustotal.com/file-scan/report...2317-1297600963 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 13 февраля, 2011 Share Опубликовано 13 февраля, 2011 что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Gelios 0 Опубликовано 13 февраля, 2011 Автор Share Опубликовано 13 февраля, 2011 Спасибо, проблема больше не наблюдается. Цитата Ссылка на сообщение Поделиться на другие сайты
Gelios 0 Опубликовано 28 февраля, 2011 Автор Share Опубликовано 28 февраля, 2011 Приветсвую! Благодарю за поддержку, но, проблема опять появилась - работает 5 мин и перезагружается, причем если отключить сетевое подключение вроде все ок... Новые логи прилагаю... virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
дон Кихот 2 Опубликовано 28 февраля, 2011 Share Опубликовано 28 февраля, 2011 Строгое предупреждение от модератора vasdas Предупреждение за флуд и бесполезный совет п.21 правил форума. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 28 февраля, 2011 Share Опубликовано 28 февраля, 2011 Gelios Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Gelios 0 Опубликовано 2 марта, 2011 Автор Share Опубликовано 2 марта, 2011 Спасибо! Так, все сделал, выкладываю отчеты. (AntiMalware нашел 2 объекта, я удалил) mbam_log_2011_03_02__00_26_26_.txt ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 марта, 2011 Share Опубликовано 2 марта, 2011 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: c:\windows\002952_.tmp c:\windows\DUMP3c4d.tmp c:\windows\DUMP2b95.tmp c:\windows\DUMP3846.tmp c:\windows\DUMP2c32.tmp c:\windows\DUMP33f0.tmp c:\windows\DUMP2b75.tmp c:\windows\DUMP3037.tmp c:\windows\DUMP4e00.tmp c:\windows\DUMP36cf.tmp c:\windows\DUMP2c8e.tmp c:\windows\DUMP3171.tmp c:\windows\DUMP320e.tmp c:\windows\DUMP36c0.tmp c:\windows\DUMP2b84.tmp c:\windows\DUMP2c60.tmp c:\windows\DUMP317f.tmp c:\windows\DUMP31d1.tmp c:\windows\DUMP3336.tmp c:\windows\DUMP370d.tmp c:\windows\DUMP2dd6.tmp c:\windows\DUMP34ea.tmp c:\windows\DUMP3066.tmp c:\windows\DUMP35a7.tmp c:\windows\DUMP353a.tmp c:\windows\DUMP2c31.tmp c:\windows\DUMP326a.tmp c:\windows\DUMP36bf.tmp c:\windows\DUMP2b94.tmp c:\windows\DUMP38a4.tmp c:\windows\DUMP2ba3.tmp c:\windows\DUMP2eef.tmp c:\windows\DUMP37d8.tmp c:\windows\DUMP3a69.tmp c:\windows\DUMP35e4.tmp c:\windows\DUMP38b3.tmp c:\windows\DUMP377b.tmp c:\windows\DUMP2b65.tmp c:\windows\DUMP3587.tmp c:\windows\DUMP2c51.tmp c:\windows\DUMP322b.tmp c:\windows\DUMP350a.tmp c:\windows\DUMP34fa.tmp c:\windows\DUMP3539.tmp c:\windows\DUMP31d0.tmp c:\windows\DUMP2c30.tmp c:\windows\DUMP3fa8.tmp c:\windows\DUMP320d.tmp c:\windows\DUMP31cf.tmp c:\windows\DUMP2c5f.tmp c:\windows\DUMP2e05.tmp c:\windows\DUMP30f4.tmp c:\windows\DUMP3102.tmp c:\windows\DUMP3373.tmp c:\windows\DUMP30d4.tmp c:\windows\DUMP31ce.tmp c:\windows\DUMP2c50.tmp c:\windows\DUMP3b24.tmp c:\windows\DUMP3364.tmp c:\windows\DUMP3fe7.tmp c:\windows\DUMP3335.tmp c:\windows\DUMP3e80.tmp c:\windows\DUMP3123.tmp c:\windows\DUMP324b.tmp c:\windows\DUMP3578.tmp c:\windows\DUMP3122.tmp c:\windows\DUMP2c4f.tmp c:\windows\DUMP2fba.tmp c:\windows\DUMP35a6.tmp c:\windows\DUMP318f.tmp c:\windows\DUMP3383.tmp c:\windows\DUMP3095.tmp c:\windows\DUMP3170.tmp c:\windows\DUMP3577.tmp c:\windows\DUMP3519.tmp c:\windows\DUMP30f3.tmp c:\windows\DUMP319f.tmp c:\windows\DUMP320c.tmp c:\windows\DUMP39ad.tmp c:\windows\system32\drivers\bujiyoiq.sys c:\documents and settings\LocalService\Application Data\Microsoft\coovi.exe Driver:: Winferno Subscription Service NetSvc:: Folder:: Registry:: FileLook:: DirLook:: RegLock:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.