Перейти к содержанию
Правила раздела

Произвольная перезагрузка компьютера

Gelios

От Gelios
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Gelios Новичок

Gelios

Опубликовано
Опубликовано

Добрый вечер! Произвольно, происходит перезагрузка компьютера, (блок питания в норме, перегрева нет).

перед этим на системе было удалено много вирусов(комп начал полностью зависать чистил сначала cURE it не помогло, затем приобрел KIS2011, установил почистил, проблема решилась) все было ок, теперь появилась данная проблема.

Причем странно как-то сейчас нормально работает, перед этим несколько раз циклично перезагружался без полной загрузки ОС.

Помогите плиз! :)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('uzdvawmd', 4);
SetServiceStart('rsmkvzhi', 4);
SetServiceStart('qlpztltl', 4);
SetServiceStart('omsfvvyv', 4);
SetServiceStart('npljcmlu', 4);
SetServiceStart('fkssyxzp', 4);
StopService('uzdvawmd');
StopService('rsmkvzhi');
StopService('qlpztltl');
StopService('omsfvvyv');
StopService('npljcmlu');
StopService('fkssyxzp');
QuarantineFile('C:\WINDOWS\Installer\c7da6e.msi','');
QuarantineFile('C:\WINDOWS\System32\Drivers\uzdvawmd.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\rsmkvzhi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\qlpztltl.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\omsfvvyv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\npljcmlu.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\fkssyxzp.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\fkssyxzp.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\npljcmlu.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\omsfvvyv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\qlpztltl.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\rsmkvzhi.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\uzdvawmd.sys');
DeleteService('uzdvawmd');
DeleteService('rsmkvzhi');
DeleteService('qlpztltl');
DeleteService('omsfvvyv');
DeleteService('npljcmlu');
DeleteService('fkssyxzp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Сделайте новые логи по правилам.

+ отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Ссылка на комментарий
Поделиться на другие сайты
Gelios Новичок

Gelios

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо, проблема вроде ушла, :(

прилагаю отчеты после лечения,

ссылка на отчет GSI.

 

 

http://www.getsysteminfo.com/read.php?file...db9a43ef6746cb4

 

Ответ на запрос пока пришел тока такой

"Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

 

 

bcqr00001.dat,

bcqr00002.dat,

c7da6e.msi

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского"

virusinfo_syscheck.zip

virusinfo_syscure.zip

GetSystemInfo_MAMACOMP_Admin_2011_02_10_21_15_59.zip

hijackthis.log

Изменено пользователем Gelios
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\twxqx.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avntsc32.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avgstc32.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MCDT.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MCDT.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avgstc32.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avntsc32.exe');
DeleteFile('C:\Documents and Settings\Admin\twxqx.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Avira Antivir');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft UneXpected');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driver Control Manager v1.0');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

выполняли?

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

по крайней мере Adobe Reader - устаревший.

 

проверьте на virustotal.com

C:\WINDOWS\Installer\c7da6e.msi 
C:\WINDOWS\system32\Adobe\Director\SwDir.dll

приложите 2 ссылки на результаты проверки

 

Деинсталлируйте Malwarebytes' Anti-Malware

 

Очистите временные папки

для этого скачайте ATF Cleaner

http://majorgeeks.com/ATF_Cleaner_d4949.html

запустите - select all (на всех вкладках) - empty selected

Ссылка на комментарий
Поделиться на другие сайты
Gelios Новичок

Gelios

Опубликовано
  • Автор
Опубликовано

Готово.

Сейчас обновил также Adobe Acrobat. Обновлено все по списку )))

 

ссылки на результаты исследования virustotal

http://www.virustotal.com/file-scan/report...3f45-1297600652

http://www.virustotal.com/file-scan/report...2317-1297600963

Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
Gelios Новичок

Gelios

Опубликовано
  • Автор
Опубликовано

:) Приветсвую! Благодарю за поддержку, но, проблема опять появилась - работает 5 мин и перезагружается, причем если отключить сетевое подключение вроде все ок...

Новые логи прилагаю...

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Gelios

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::

File::
c:\windows\002952_.tmp
c:\windows\DUMP3c4d.tmp
c:\windows\DUMP2b95.tmp
c:\windows\DUMP3846.tmp
c:\windows\DUMP2c32.tmp
c:\windows\DUMP33f0.tmp
c:\windows\DUMP2b75.tmp
c:\windows\DUMP3037.tmp
c:\windows\DUMP4e00.tmp
c:\windows\DUMP36cf.tmp
c:\windows\DUMP2c8e.tmp
c:\windows\DUMP3171.tmp
c:\windows\DUMP320e.tmp
c:\windows\DUMP36c0.tmp
c:\windows\DUMP2b84.tmp
c:\windows\DUMP2c60.tmp
c:\windows\DUMP317f.tmp
c:\windows\DUMP31d1.tmp
c:\windows\DUMP3336.tmp
c:\windows\DUMP370d.tmp
c:\windows\DUMP2dd6.tmp
c:\windows\DUMP34ea.tmp
c:\windows\DUMP3066.tmp
c:\windows\DUMP35a7.tmp
c:\windows\DUMP353a.tmp
c:\windows\DUMP2c31.tmp
c:\windows\DUMP326a.tmp
c:\windows\DUMP36bf.tmp
c:\windows\DUMP2b94.tmp
c:\windows\DUMP38a4.tmp
c:\windows\DUMP2ba3.tmp
c:\windows\DUMP2eef.tmp
c:\windows\DUMP37d8.tmp
c:\windows\DUMP3a69.tmp
c:\windows\DUMP35e4.tmp
c:\windows\DUMP38b3.tmp
c:\windows\DUMP377b.tmp
c:\windows\DUMP2b65.tmp
c:\windows\DUMP3587.tmp
c:\windows\DUMP2c51.tmp
c:\windows\DUMP322b.tmp
c:\windows\DUMP350a.tmp
c:\windows\DUMP34fa.tmp
c:\windows\DUMP3539.tmp
c:\windows\DUMP31d0.tmp
c:\windows\DUMP2c30.tmp
c:\windows\DUMP3fa8.tmp
c:\windows\DUMP320d.tmp
c:\windows\DUMP31cf.tmp
c:\windows\DUMP2c5f.tmp
c:\windows\DUMP2e05.tmp
c:\windows\DUMP30f4.tmp
c:\windows\DUMP3102.tmp
c:\windows\DUMP3373.tmp
c:\windows\DUMP30d4.tmp
c:\windows\DUMP31ce.tmp
c:\windows\DUMP2c50.tmp
c:\windows\DUMP3b24.tmp
c:\windows\DUMP3364.tmp
c:\windows\DUMP3fe7.tmp
c:\windows\DUMP3335.tmp
c:\windows\DUMP3e80.tmp
c:\windows\DUMP3123.tmp
c:\windows\DUMP324b.tmp
c:\windows\DUMP3578.tmp
c:\windows\DUMP3122.tmp
c:\windows\DUMP2c4f.tmp
c:\windows\DUMP2fba.tmp
c:\windows\DUMP35a6.tmp
c:\windows\DUMP318f.tmp
c:\windows\DUMP3383.tmp
c:\windows\DUMP3095.tmp
c:\windows\DUMP3170.tmp
c:\windows\DUMP3577.tmp
c:\windows\DUMP3519.tmp
c:\windows\DUMP30f3.tmp
c:\windows\DUMP319f.tmp
c:\windows\DUMP320c.tmp
c:\windows\DUMP39ad.tmp
c:\windows\system32\drivers\bujiyoiq.sys
c:\documents and settings\LocalService\Application Data\Microsoft\coovi.exe

Driver::
Winferno Subscription Service

NetSvc::

Folder::

Registry::

FileLook::

DirLook::

RegLock::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...