Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Тормозит ПК. (http://forum.oszone.net/showthread.php?t=320808)

frII 15-11-2016 12:21 2687745
Тормозит ПК.
 
Вложений: 1
Добрый день всем,

Некоторое время назад ПК начал тормозить хотя ранее ессено этого не наблюдалось.
Странность первая на двух дисках вкорне появились файлики,которые после удаления появлялись сами собой.Через filemon было выявлено что генерит их svhost.exe если я не ошибся.
После был произведен скан Dr.Web Live USB который выявил наличии Win.32.Sector.30 полечил 81 файл и все.
Но сдается мне что дело не только в этом так как файлики подозрительные на месте.
Архив с логами прикладываю.

Заранее спасибо,
С уважением.

DVDshnik 15-11-2016 12:39 2687748
Цитата:
Цитата frII
svhost.exe »
svchost.exe должен быть, и расположен в конкретном месте, а не в корне Windows.

frII 15-11-2016 12:47 2687751
Цитата:
Цитата DVDshnik (Сообщение 2687748)
Цитата:
Цитата frII
svhost.exe »
svchost.exe должен быть, и расположен в конкретном месте, а не в корне Windows.
Вот именно по этому я за помощью и обратился.

Sandor 15-11-2016 14:34 2687775
Здравствуйте!

У Вас файловое заражение sality.

Пролечите систему через KRD.

Затем сделайте свежий CollectionLog.

frII 15-11-2016 19:21 2687854
Вложений: 1
Пролечил,новые логи в приложении.

Sandor 16-11-2016 09:21 2687958
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\jllxg.exe','');
 QuarantineFile('C:\Windows\system32\drivers\jcrqkywn.sys','');
 QuarantineFile('C:\autorun.inf', '');
 QuarantineFile('G:\autorun.inf', '');
 DeleteFile('C:\Windows\system32\drivers\jcrqkywn.sys','32');
 DeleteFile('C:\jllxg.exe','32');
 DeleteFile('C:\autorun.inf', '32');
 DeleteFile('G:\autorun.inf', '32');
 DeleteService('jcrqkywn');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteRepair(10);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

frII 16-11-2016 20:50 2688133
Вложений: 1
Скрипт выполнил,логи повторил,логи в приложении.

Sandor 17-11-2016 10:34 2688233
Воспользуйтесь утилитой SalityKiller.

Затем еще раз новый CollectionLog.

frII 17-11-2016 11:10 2688244
Цитата:
Цитата Sandor (Сообщение 2688233)
Воспользуйтесь утилитой SalityKiller.

Затем еще раз новый CollectionLog.
Может этот экзешник лучше в безопасном режиме запустить или с live cd на базе винды?

Sandor 17-11-2016 11:21 2688248
В безопасном Вы пока не сможете запустить.

Пробуйте
Цитата:
Цитата frII
с live cd на базе винды »

frII 17-11-2016 14:56 2688298
Вложений: 1
Просканирол из под винды и через live cd.
Логи прилагаю.
Вчера забыл написать что архив с карантином из AVZ отправил по форме.

Sandor 17-11-2016 15:01 2688299
Цитата:
Цитата frII
Просканирол из под винды и через live cd. »
Результаты были?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\autorun.inf', '');
 QuarantineFile('E:\autorun.inf', '');
 QuarantineFile('F:\autorun.inf', '');
 QuarantineFile('F:\hret.pif','');
 QuarantineFile('C:\xvkid.exe','');
 QuarantineFile('E:\mfdec.exe','');
 DeleteFile('E:\mfdec.exe','32');
 DeleteFile('C:\xvkid.exe','32');
 DeleteFile('F:\hret.pif','32');
 DeleteFile('C:\autorun.inf', '32');
 DeleteFile('E:\autorun.inf', '32');
 DeleteFile('F:\autorun.inf', '32');
ExecuteSysClean;
 ExecuteRepair(10);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

frII 17-11-2016 19:04 2688382
Цитата:
Цитата Sandor (Сообщение 2688299)
Цитата:
Цитата frII
Просканирол из под винды и через live cd. »
Результаты были?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\autorun.inf', '');
 QuarantineFile('E:\autorun.inf', '');
 QuarantineFile('F:\autorun.inf', '');
 QuarantineFile('F:\hret.pif','');
 QuarantineFile('C:\xvkid.exe','');
 QuarantineFile('E:\mfdec.exe','');
 DeleteFile('E:\mfdec.exe','32');
 DeleteFile('C:\xvkid.exe','32');
 DeleteFile('F:\hret.pif','32');
 DeleteFile('C:\autorun.inf', '32');
 DeleteFile('E:\autorun.inf', '32');
 DeleteFile('F:\autorun.inf', '32');
ExecuteSysClean;
 ExecuteRepair(10);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
При первом проходе из под винды были, что то удалил, кучу вылечил. При повторном проходе уже из под винд ничего не было. Все было чисто.
Я еще забыл восстановление оси выключить, может он таким образом восстанавливался?
На данный момент восстановление системы отключено на всех дисках. Выключу инет, применю скрипт. После сделаю логи и уже включу инет. Может так выйдет.

frII 17-11-2016 20:15 2688416
Вложений: 1
Скрипт выполнил,логи прикладываю.

Sandor 18-11-2016 09:31 2688528
Теперь порядок.

Для верности проделайте эту процедуру.

frII 18-11-2016 12:10 2688576
Уважаемый Sandor!

Огромная Вам благодарность!

Процедуру проделал,лог приложить?

Sandor 18-11-2016 12:18 2688577
Если все в порядке, то не нужно.

В завершение:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.


Время: 17:25.

Время: 17:25.
© OSzone.net 2001-