Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Грузится проц на 100%

venslav

Автор venslav
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

venslav Новичок

venslav

Опубликовано
Опубликовано

Здравствуйте, подцепил вирус. С начало завис комп, потом синее окно о дамаге ситемы или оборудования.После перегруза проц дико грузится. Похоже на svchost.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

venslav,

добро пожаловать на форум!

 

пофиксите в Hijackthis:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\lsass.exe
O1 - Hosts: 31.214.145.151 www.vkontakte.ru
O1 - Hosts: 31.214.145.151 www.vk.com
O1 - Hosts: 31.214.145.151 vkontakte.ru
O1 - Hosts: 31.214.145.151 vk.com
O1 - Hosts: 31.214.145.151 www.odnoklassniki.ru
O1 - Hosts: 31.214.145.151 odnoklassniki.ru

 

выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\documents and settings\admin\application data\lsass.exe');
SetServiceStart('mkdrv', 4);
QuarantineFile('\?\C:\WINDOWS\vgtbs.sys','');
QuarantineFile('C:\WINDOWS\vgtbs.sys','');
QuarantineFile('c:\documents and settings\admin\application data\lsass.exe','');
DeleteFile('C:\WINDOWS\vgtbs.sys');
DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe');
DeleteFile('\?\C:\WINDOWS\vgtbs.sys');
DeleteService('mkdrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('mkdrv');
BC_Activate;
RebootWindows(true);
end.

 

сделайте новые логи по правилам

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
venslav Новичок

venslav

Опубликовано
  • Автор
Опубликовано

в AVZ жму выполнить скрипт, быстро мигает окно ввода и исчезает. Avz виснет. пробовал переустановить и перезагрузить комп не помогает. антивир выключен. мож я туплю?

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

venslav,

выполните скрипт выше в безопасном режиме.

 

если снова не получится, выполните такой скрипт в обычном режиме:

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\admin\application data\lsass.exe');
QuarantineFile('C:\WINDOWS\vgtbs.sys','');
QuarantineFile('\?\C:\WINDOWS\vgtbs.sys','');
QuarantineFile('c:\documents and settings\admin\application data\lsass.exe','');
DeleteFile('c:\documents and settings\admin\application data\lsass.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\vgtbs.sys');
BC_DeleteFile('\?\C:\WINDOWS\vgtbs.sys ');
BC_DeleteSvc('mkdrv');
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется:

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1

Ссылка на комментарий
Поделиться на другие сайты
venslav Новичок

venslav

Опубликовано
  • Автор
Опубликовано (изменено)

log combofix

 

 

 

Сейчас попробовал запустить Avz выполнить скрипт, заработало окно запуска. Это похоже после Combofixa?

но исчезли коды в хайджеке которые нужно фиксить. Мне зделать новые логи? Или просто выполнить последние скрипты?

ComboFix.rar

Изменено пользователем venslav
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

File::
c:\windows\vgtbs.sys

RegLock::
[HKEY_USERS\S-1-5-21-299502267-602162358-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

post-9410-1314212388.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::

File::
c:\windows\vgtbs.sys

Driver::
MKDRV

NetSvc::

Folder::

Registry::

FileLook::
c:\windows\vgtbs.sys

DirLook::

RegLock::
[HKEY_USERS\S-1-5-21-299502267-602162358-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

post-9410-1314212388.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Деинсталлируйте ComboFix:

- нажмите Win+R

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано
Ничего не изменилось , тот же груз.

Покажите скриншот из диспетчера задач на момент загрузки системы.

 

 

У вас получилось выполнить скрипт в AVZ?

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Если данной папки нет, тогда запакуйте папку Quarantine из папки AVZ, установите пароль на архив "virus" и отправьте ее на проверку по вышеуказанным адресам.

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата.

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме

 

c:\windows\vgtbs.sys

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ссылка на комментарий
Поделиться на другие сайты
venslav Новичок

venslav

Опубликовано
  • Автор
Опубликовано

Avz выполняет скрипты, не удалось проверить вирустоталом т.к файлы карантина не находятся. Система их не видит или они отсутсвуют.

post-22610-1314449440_thumb.jpg

mbam_log_2011_08_27__16_29_21_.txt

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...