Нужна помощь специалиста

[gar1305]

Компьтер греется, стал медленне работать. С 10/03/09 на компе стоит KIS 8.0.0.357 и Spyware detector, до этого были AVIRA,DRWEB. Проконсультируйте плиз, что не в порядке? "Анализы" - прилагаю. (по образованию - доктор). Заранее спасибо.

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[ROME'D'ROS]

Походу dll-ки вирусные,ждите скрипт от хэлпера.

[Самогонщик]

ROME'D'ROS

Давайте не будем комментировать и говорить о том что надо ждать Хелпиров

[Falcon]

Скачайте IceSword.

- Запустите программу.

- Внизу слева выберите меню File.

- Появится аналог проводника. Найдите в нем файл:

C:\WINDOWS\System32\Drivers\sfc.SYS

 

- Нажмите на него правой кнопкой мыши и выберите force delete.

- На запрос потверждения ответьте "да".

 

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('MHNDRV');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\mhndrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mgnt.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\F8E4F3DF.dll','');
QuarantineFile('C:\WINDOWS\system32\E0E8FED9.dll','');
QuarantineFile('C:\WINDOWS\system32\DCC4B9E5.dll','');
QuarantineFile('C:\WINDOWS\system32\D9621514.dll','');
QuarantineFile('C:\WINDOWS\system32\BEAF615C.dll','');
QuarantineFile('C:\WINDOWS\system32\9DEBE0FB.dll','');
QuarantineFile('C:\WINDOWS\system32\8EBFEE1F.dll','');
QuarantineFile('C:\WINDOWS\system32\8B474A81.dll','');
QuarantineFile('C:\WINDOWS\system32\71C43DFE.dll','');
QuarantineFile('C:\WINDOWS\system32\3C5FBA88.dll','');
DeleteFile('C:\WINDOWS\system32\3C5FBA88.dll');
DeleteFile('C:\WINDOWS\system32\71C43DFE.dll');
DeleteFile('C:\WINDOWS\system32\8B474A81.dll');
DeleteFile('C:\WINDOWS\system32\8EBFEE1F.dll');
DeleteFile('C:\WINDOWS\system32\9DEBE0FB.dll');
DeleteFile('C:\WINDOWS\system32\BEAF615C.dll');
DeleteFile('C:\WINDOWS\system32\D9621514.dll');
DeleteFile('C:\WINDOWS\system32\DCC4B9E5.dll');
DeleteFile('C:\WINDOWS\system32\E0E8FED9.dll');
DeleteFile('C:\WINDOWS\system32\F8E4F3DF.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\DRIVERS\mhndrv.sys');
DeleteFile('E:\autorun.inf');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Обновите базы AVZ и сделайте новые логи.

[gar1305]

Не смог найти у себя : sfc.SYS , он точно там есть ? Спс.

 

Сообщение от модератора wise-wistful

Удалил излишнее цитирование, оно мешает

Изменено 1 апреля, 2009 пользователем wise-wistful

[Falcon]

Выполните скрипт и сделайте новые логи, а там посмотрим.

[gar1305]

Выполните скрипт и сделайте новые логи, а там посмотрим.

 

 

 

Скрипт-сделал, логи сделал...жду дальнейших указаний.

hijackthis.log

avz_log.txt

avz_log_1.txt

[akoK]

Нам нужны эти логи AVZ

virusinfo_syscure.zip

virusinfo_syscheck.zip

[gar1305]

Нам нужны эти логи AVZ

virusinfo_syscure.zip

virusinfo_syscheck.zip

 

 

А они сами почему то сохранились только в блокноте, может надо предыдущие zipы удалить?

[akoK]

Они должны заменится. Можно и удалить

[gar1305]

Нам нужны эти логи AVZ

virusinfo_syscure.zip

virusinfo_syscheck.zip

 

 

Sorry. не догнал, что они автоматом переписываются.

 

Они должны заменится. Можно и удалить

 

Еще раз, извиняюсь, (разволновался)

virusinfo_syscheck.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\C95F30AD.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' ');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\C95F30AD.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

 

 

Повторите логи

 

Карантин получил ждем логи.

[gar1305]

Сообщение от модератора wise-wistful

Не надо полностью цитировать пост

 

 

высылаю.

 

А еще после быстрой проверке KISом осталось следующее:

Обнаружено: http://www.viruslist.com/ru/advisories/34012 C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx

Скажите это страшно или нет и что делать?

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 2 апреля, 2009 пользователем wise-wistful

[akoK]

Это уязвимость Кис нашел. Обновите или удалите Adobe Flash.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteStdScr(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Какие проблемы еще наблюдаются?

[gar1305]

Это уязвимость Кис нашел. Обновите или удалите Adobe Flash.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteStdScr(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Какие проблемы еще наблюдаются?

 

А можно еще комментарий на это:

 

Отчет сгенерирован программой Spyware Detector v1.0. http://www.spyware-detector.ru

Дата и время сканирования: 03.04.2009 00:13

 

[Tracking cookie] [administrator@adobe[1].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@adobe[1].txt]

[Tracking cookie] [administrator@adobe[2].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@adobe[2].txt]

[Tracking cookie] [administrator@forum.kasperskyclub[2].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@forum.kasperskyclub[2].txt]

[Tracking cookie] [administrator@m.webtrends[1].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@m.webtrends[1].txt]

[Tracking cookie] [administrator@sales.liveperson[1].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@sales.liveperson[1].txt]

[Tracking cookie] [administrator@sales.liveperson[2].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@sales.liveperson[2].txt]

[Tracking cookie] [administrator@tns-counter[1].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@tns-counter[1].txt]

[Tracking cookie] [administrator@tt11.adobe[2].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@tt11.adobe[2].txt]

[Tracking cookie] [administrator@viruslist[1].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@viruslist[1].txt]

[Tracking cookie] [administrator@www.viruslist[1].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@www.viruslist[1].txt]

[Tracking cookie] [administrator@yandex[2].txt] [C:\Documents and Settings\Administrator\Cookies\administrator@yandex[2].txt]

[Trojan.Small.hei] [beep.sys] [C:\WINDOWS\system32\dllcache\beep.sys]

[Trojan.Small.hei] [beep.sys] [C:\WINDOWS\system32\drivers\beep.sys]

 

Есть из этого что-нибудь страшное или на это можно "забить". Заранее спасибо.