Решена Зависает компьютер

Тема в разделе "Лечение компьютерных вирусов", создана пользователем siv21102, 30 мар 2012.

Статус темы:
Закрыта.
  1. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Система подверглась нападению :)
     

    Вложения:

  2. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    добавил лог 2 стандартного скрипта
     

    Вложения:

  3. Tiare
    Оффлайн

    Tiare Ассоциация VN

    Сообщения:
    648
    Симпатии:
    748
    siv21102,

    Пожалуйста, выполните эти рекомендации.


    Проверьте эти файлы на virustotal
    кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .
    Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.


    удалите только эти строки в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.
    Код (Text):
    Обнаруженные ключи в реестре:  1
    HKLM\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Действие не было предпринято.

    Объекты реестра обнаружены:  10
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\SERVICES\COMSYSAPP|Type (Hijack.Comsysapp) -> Плохо: (272) Хорошо: (16) -> Действие не было предпринято.
    +
    • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
    • Прикрепите файл к следующему сообщению.


    + повторите лог RSIT




    Подробнее опишите проблемы.
     
    1 человеку нравится это.
  4. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Вирус тотал почемуто висит и висит.
    в малваре удалил. файлы карантина больше 10Мб тоже не могу приктепить.

    Results of screen317's Security Check version 0.99.32
    Windows XP Service Pack 3 x86
    Internet Explorer 8
    ``````````````````````````````
    Antivirus/Firewall Check:

    Windows Security Center service is not running! This report may not be accurate!
    WMI entry may not exist for antivirus; attempting automatic update.
    ```````````````````````````````
    Anti-malware/Other Utilities Check:

    HijackThis 2.0.2
    CCleaner
    Adobe Flash Player 11.1.102.63
    Mozilla Firefox 10.0.2 Firefox out of Date!
    ````````````````````````````````
    Process Check:
    objlist.exe by Laurent

    ``````````End of Log````````````
     

    Вложения:

  5. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Антивирус установлю просто его пока нет пока лечу
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Удалите в MBAM
    Код (Text):
    Обнаруженные ключи в реестре:  1
    HKLM\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Действие не было предпринято.

    Объекты реестра обнаружены:  10
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
    MediaGet2.exe - сами ставили?

    Добавлено через 2 минуты 6 секунд
    Необходимо больше информации о проблеме.
     
  7. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    c:\program files\av\avplayer\avplayerupdater.exe файл известен вам?

    Пофиксите в HJT:
    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
     
    Ваша стартовая страница?
    Код (Text):
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/r/home?event=home&rpid=rgames.dwnld&appid=hp
    Плагин Ask Toolbar - сами ставили?

    MediaGet2 - устанавливали?

    Сами добавляли в доверенную зону?
    Код (Text):
    O15 - Trusted Zone: *.zubsb.ru
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\program files\av\avplayer\avplayerupdater.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\thm17.tmp','');
     RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
     AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

    Не видно, чтобы вы что-то удалили. Либо лог старый прикрепили.

    Внимательней читаем:
    Код (Text):
    4. В случае если файл карантина превышает 10 Мб, то файл необходимо залить на файлообменник (например webfile.ru или rghost.ru) и указать ссылку на скачивание в этой теме.
     
  8. Tiare
    Оффлайн

    Tiare Ассоциация VN

    Сообщения:
    648
    Симпатии:
    748
    отчет MBAM старый (первоначальный).
     
  9. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    В доверенную зону не добалял. Медиагет сами ставили.

    НЕТ



    ________________________________________________
     

    Вложения:

    Последнее редактирование модератором: 1 апр 2012
  10. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    я так понимаю это файл обновлений проигрывателя!
     
  11. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    что-то нет ответа
     
  12. Warrior Kratos
    Оффлайн

    Warrior Kratos Активный пользователь

    Сообщения:
    1.220
    Симпатии:
    389
    Почему карантин не выслали?
     
  13. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    он не высылается не вкакую, размер 22МБ может из за этого\
     
  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Отправьте почтой а не через форму
     
    1 человеку нравится это.
  15. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    отправил что нужно сделать дальше ?

    Добавлено через 37 минут 14 секунд
    !
     
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    По карантину видно, что ОС - сборка - большинство системных файлов запакованы пакером - думаю это одна из причин.
     
  17. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Поблем уже нет визуально по работе компьютера!
    Спасибо!
     
Статус темы:
Закрыта.

Поделиться этой страницей