Решена Посмотрите, пожалуйста, логи.

Статус
В этой теме нельзя размещать новые ответы.

ozz747

Новый пользователь
Сообщения
10
Реакции
8
Здравствуйте! Суть проблемы в том, что при загрузке системы открывается папка "Мои документы" и процесс syscr.exe грузит процессор на 100%.
 

Вложения

  • logi.zip
    53.4 KB · Просмотры: 3
Последнее редактирование:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\DOCUME~1\anton\LOCALS~1\Temp\mcjzmk.exe','');
 QuarantineFile('C:\WINDOWS\system32\cda73942.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-5696832281-0176001093-571042467-2978\syscr.exe','');
 DeleteFile('c:\recycler\s-1-5-21-5696832281-0176001093-571042467-2978\syscr.exe');
 DeleteFile('C:\DOCUME~1\anton\LOCALS~1\Temp\mcjzmk.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи.
 
Привет!:hi: Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
 
Через две-три секунды после запуска выдает "...gmer.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства..."
Что делать?
 
Аналогично. На том же самом месте, по ощущениям. Сначала как бы приостанавливается на долю секунды, а потом сообщение об ошибке.
 
Деинсталируйте свой эмулятор дисков. Его драйвер конфликтует с gmer.

Добавлено через 2 часа 14 минут 32 секунды
Карантин отправил в вирлаб.
 
Добрый день! Выкладываю лог gmer.exe.
 

Вложения

  • gmer.log
    36.6 KB · Просмотры: 10
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service mtebj
gmer.exe -del file "C:\WINDOWS\system32\qmqyh.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mtebj"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mtebj"
gmer.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer
 
Получил результат анализа карантина:
syscr.exe - P2P-Worm.Win32.Palevo.aaso
 
....
И запустите сохранённый пакетный файл cleanup.bat.
....
Сделайте новый лог gmer

При запуске cleanup.bat выдал три раза ошибку: "неверный дескриптор".
Логи сделал заново и прилагаю.

Получил результат анализа карантина:
syscr.exe - P2P-Worm.Win32.Palevo.aaso

Посоветуйте, пожалуйста, что же с ним делать?
 

Вложения

  • gmer.log
    34.5 KB · Просмотры: 8
Файл, содержащий P2P-Worm.Win32.Palevo.aaso, Вам уже удалили.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service qzkgixpo
gmer.exe -del file "C:\WINDOWS\system32\qmqyh.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qzkgixpo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qzkgixpo"
gmer.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.
 
Новые логи.
 

Вложения

  • 1.JPG
    1.JPG
    30.4 KB · Просмотры: 72
  • gmer3.log
    26.8 KB · Просмотры: 3
Лог Gmer - чистый!Пожалуйста, выполните рекомендации(т.2 и т.3) и прикрепите к следующему сообщению полученные логи для анализа!Незабудьте обновить базы!


И что с проблемой?:)
 
Последнее редактирование:
Новый пакет логов.

Первоначальные проблемы решены (см. первый пост). Но не дает покоя то, что звук у вентилятора процессора такой, как будто сам процессор работает на полную мощность (у меня ноутбук, это очень хорошо заметно, обычно - когда все программы выключены. вентилятор не шумит). И диспетчер задач показывает загрузку процессора 0%, раньше такого никогда не видел. Но, может, я просто излишне переживаю.
 

Вложения

  • logi3.zip
    50.9 KB · Просмотры: 3
Последнее редактирование:
Пофиксить в HijackThis следующие строчки
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - - (no file)

Больше ничего вредоносного в логах не вижу.

Добавлено через 56 секунд
Почистим следы:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 
Большое спасибо всем за помощь!
Проблема решена!

P.S. заметил новые рекомендации. Сейчас выполню.
 
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16.04.2010 1:00:08
mbam-log-2010-04-16 (01-00-08).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 164522
Времени прошло: 34 минут, 41 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 3
Зараженные папки: 3
Зараженные файлы: 12

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Зараженные папки:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859 (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> Quarantined and deleted successfully.

Зараженные файлы:
C:\Program Files\WebMoney\WebMoney.exe (Spyware.WebMoney) -> Not selected for removal.
D:\дистрибутив\HD-Tune-Pro-3.10\HD Tune Pro 3.10\Crack\Patch.exe (Trojan.Downloader) -> Not selected for removal.
D:\игры\Crimsonland\кримсоланд\Crimsonland_v1.9.8_by_ByteSquad\Crimsonland198.exe (Trojan.Bancos) -> Not selected for removal.
D:\игры\trainer\Zzed\+6\pztrain.exe (Malware.Packer.Gen) -> Not selected for removal.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-12\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-13\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\bcqr00005.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\bcqr00006.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\Desktop.ini (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> Quarantined and deleted successfully.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу