VR

Justice syswow64 - это подсистема служащая для запуска 32 разрядного совта в 64 системах, некий эмулятор system64 - какае то левая папка, который принципе не должно быть Выполни скрипт AVZ (как выполнить скрипт - в шапке): SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\users\jfyjfjfjyyf\AppData\Roaming\TESV.exe',''); QuarantineFile('c:\windows\SysWow64\drivers\utm4mjk3.sys ',''); QuarantineFile('c:\windows\SysWow64\drivers\uzm4mjk3.sys',''); QuarantineFile('c:\windows\system32\vsocklib.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.begin Если вылетит тогда такой скрипт QuarantineFile('c:\users\jfyjfjfjyyf\AppData\Roaming\TESV.exe',''); QuarantineFile('c:\windows\SysWow64\drivers\utm4mjk3.sys ',''); QuarantineFile('c:\windows\SysWow64\drivers\uzm4mjk3.sys',''); QuarantineFile('c:\windows\system32\vsocklib.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.begin После перзагрузки еще один скрипт AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Архив quarantine.zip залить на файлообменник, ссылку сюда. Скачай новую версию AVZ и сделай новые логи AVZ (2й стандартный скрипт AVZ) Если данные файлы в карантин AVZ не попадат то попробуй скопировать их сам, для этого сожно например воспользоваться gmer. После чего запакуй в архив и выложи тут на него ссылку c:\users\jfyjfjfjyyf\AppData\Roaming\TESV.exe c:\windows\SysWow64\drivers\utm4mjk3.sys c:\windows\SysWow64\drivers\uzm4mjk3.sys c:\windows\system32\vsocklib.dll

ToNY667 Выполни скрипт AVZ (как выполнить скрипт - в шапке): begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\jodrive32.exe'); TerminateProcessByName('c:\documents and settings\Дом\application data\8a.tmp'); TerminateProcessByName('c:\documents and settings\Дом\application data\8f.tmp'); TerminateProcessByName('c:\documents and settings\Дом\application data\88.tmp'); QuarantineFile('E:\AutoRun.exe',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\stisvc.exe',''); QuarantineFile('C:\WINDOWS\system32\psxss.exe',''); QuarantineFile('C:\WINDOWS\system32\KB905474\wgasetup.exe',''); QuarantineFile('C:\WINDOWS\jodrive32.exe',''); QuarantineFile('C:\WINDOWS\System32\hidserv.dll',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe',''); QuarantineFile('C:\Documents and Settings\Дом\Application Data\elep32.exe',''); QuarantineFile('C:\Documents and Settings\Дом\Application Data\aon32.exe',''); QuarantineFile('C:\Documents and Settings\Дом\Application Data\Abcqcq.exe',''); QuarantineFile('c:\windows\jodrive32.exe',''); QuarantineFile('c:\documents and settings\Дом\application data\8a.tmp',''); QuarantineFile('c:\documents and settings\Дом\application data\8f.tmp',''); QuarantineFile('c:\documents and settings\Дом\application data\88.tmp',''); DeleteFile('c:\documents and settings\Дом\application data\88.tmp'); DeleteFile('c:\documents and settings\Дом\application data\8f.tmp'); DeleteFile('c:\documents and settings\Дом\application data\8a.tmp'); DeleteFile('c:\windows\jodrive32.exe'); DeleteFile('C:\Documents and Settings\Дом\Application Data\Abcqcq.exe'); DeleteFile('C:\Documents and Settings\Дом\Application Data\aon32.exe'); DeleteFile('C:\Documents and Settings\Дом\Application Data\elep32.exe'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\AutoRun.exe'); DeleteFile('C:\WINDOWS\jodrive32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','elepha'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t2fview'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Abcqcq'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup'); DeleteFileMask('c:\documents and settings\Дом\application data\', '*.tmp;*.exe', false); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. После перзагрузки еще один скрипт AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Архив quarantine.zip залить на файлообменник, ссылку сюда. Скачай новую версию AVZ и сделай новые логи AVZ (2й стандартный скрипт AVZ) Добавлено спустя 14 минут 59 секунд: Justice Во время выполнения лога AVZ и GMER вредоносный процес svchost работал? Сделай еще лог ComboFix Скачайте ComboFix , и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

nonlux насчет пороля, существуют управляемые машрутикаторы, которые настраиваются так что с этим логином/паролеи/mac-адрессом возможно подключения только с определенного порта маршрутизатора. То есть если кто то да же попытается использовать ваш пароль. но физически его кабель включен в другой порт то ему будет облом.

volkodav697 нет

CoolNero были не сами вирусы, а следы их жизнедеятельности

Velton делай логи AVZ Добавлено спустя 22 минуты 14 секунд: CoolNero в логах чисто

Justice что то страная какаето игра, что ставит драйвера. нет не слетят. При карантине просто копируется файл и все, не каких других действий с ним не совершается. Добавлено спустя 2 минуты 24 секунды: BorisBritva так и должно быть, это не вирусы. Для такого чтоб проверить системы AVZ встраивается в цепочку WIN API функций, чтоб проверить нет ли там левых перхвачиков и так. далее. После завершение проверка восстанавливает исходные API Добавлено спустя 1 минуту 7 секунд: lamo_ Но это точно связанно не с вирусней, ведать какие то проблеммы именно с хромом Добавлено спустя 2 минуты 14 секунд: CoolNero по обоим ссылкам скачивается quarantine.zip

CoolNero Выполни скрипт AVZ (как выполнить скрипт - в шапке): SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('f:\programm files\steam\bin\SteamService.exe',''); QuarantineFile('C:\Windows\system32\xfcodec.dll',''); QuarantineFile('C:\Windows\System32\drivers\AmdLLD.sys',''); QuarantineFile('C:\Windows\system32\Wat\WatAdminSvc.exe',''); DeleteService('npggsvc'); QuarantineFile('C:\Windows\system32\GameMon.des',''); DeleteFile('C:\Windows\system32\GameMon.des'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.begin После перзагрузки еще один скрипт AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Архив quarantine.zip залить на файлообменник, ссылку сюда. Скачай новую версию AVZ и сделай новые логи AVZ (2й стандартный скрипт AVZ)

lamo_ все нормально. sptd это драйвер от алкоголя или демона.

CoolNero После перзагрузки еще один скрипт AVZ: SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('EagleXNt'); DeleteService('vproiah'); QuarantineFile('C:\Windows\system32\DRIVERS\vproiah.sys',''); QuarantineFile('C:\Windows\system32\drivers\EagleXNt.sys',''); QuarantineFile('C:\Windows\system32\Drivers\PROCEXP141.SYS',''); DeleteFile('C:\Windows\system32\DRIVERS\vproiah.sys'); DeleteFile('C:\Windows\system32\drivers\EagleXNt.sys'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',1,1,true); BC_Activate; RebootWindows(true); end.begin После перзагрузки еще один скрипт AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Архив quarantine.zip залить на файлообменник, ссылку сюда. Скачай новую версию AVZ и сделай новые логи AVZ (2й стандартный скрипт AVZ) Добавлено спустя 54 секунды: lamo_ Что за объект? Что с ним сделала?

lamo_ Проверь систему утилитой TDSSKiller

Justice Знаешь что за драйвера C:\Windows\system32\drivers\pe3ajcyb.sys и C:\Windows\system32\drivers\pf2ajcyb.sys ? Выполни скрипт AVZ (как выполнить скрипт - в шапке): SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\pr2ajcyb.exe',''); QuarantineFile('C:\Windows\system32\drivers\pf2ajcyb.sys',''); QuarantineFile('C:\Windows\system32\drivers\pe3ajcyb.sys',''); QuarantineFile('C:\Users\JFYJFJ~1\AppData\Local\Temp\ALSysIO64.sys',''); QuarantineFile('c:\program files (x86)\viewpower2.08\console\viewpowertray.exe',''); QuarantineFile('c:\progra~2\viewpo~1.08\upsmon~1.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.begin После перзагрузки еще один скрипт AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Архив quarantine.zip залить на файлообменник, ссылку сюда. Скачай новую версию AVZ и сделай новые логи AVZ (2й стандартный скрипт AVZ) Так же сделай лог Gmer Загрузите GMER Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

sasha456 в логах чисто. lamo_ Сделай еще лог Gmer Загрузите GMER Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

spb_dqz что случилось? sasha456 Выполни скрипт AVZ (как выполнить скрипт - в шапке): SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Home Media Server\hmssvc.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\p17xfilt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\P17xfi.sys',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\VKSaver\vksaver3.dll',''); QuarantineFile('c:\program files\microsoft xbox 360 accessories\xboxstat.exe',''); QuarantineFile('c:\documents and settings\fol3r\application data\mozilla\firefox\profiles\j5v6k8dk.default\extensions\{e173b749-db5b-4fd2-ba0e-94ecea0ca55b}\components\afom.exe',''); BC_ImportAll; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.begin После перзагрузки еще один скрипт AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Архив quarantine.zip залить на файлообменник, ссылку сюда. Скачай новую версию AVZ и сделай новые логи AVZ (2й стандартный скрипт AVZ)

botaNICK у меня все было, хотя счет один

bab-nick Через ИСПА https://ispa.sibirtelecom.ru/

BorisBritva вирусов у тебя нету. что именно заметил?

BorisBritva Возможно проблема связанна с какой то службой. Попробуй через msconfig отключить все службы, после этого перезагрузить комп и если проблема изщезнит то включай по одно службы чтоб вычислить виновную службу.

rgoblin в логах чисто

rgoblin А где новые логи?

BorisBritva Теперь сделай еще двойной щелчок по выделеной строке (kernel32.dll!CreateTread+0x22) скриншот открывшегося окна, выложи тута Добавлено спустя 6 минут 14 секунд: rgoblin Выполни скрипт AVZ (как выполнить скрипт - в шапке): SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\logon.scr',''); QuarantineFile('C:\WINDOWS\System32\mmcshext.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\GameXN\GameXNGO.exe',''); QuarantineFile('C:\WINDOWS\system32\tvzsdvc.dll',''); QuarantineFile('c:\documents and settings\all users\application data\gamexn\gamexngo.exe',''); DeleteFile('C:\WINDOWS\system32\tvzsdvc.dll'); BC_DeleteFile('C:\WINDOWS\system32\tvzsdvc.dll'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.begin После перзагрузки еще один скрипт AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Архив quarantine.zip залить на файлообменник, ссылку сюда. Скачай новую версию AVZ и сделай новые логи AVZ (2й стандартный скрипт AVZ)

BorisBritva можешь выложить скины, посмотрим что там у тебя

BorisBritva В process explorer делаешь двойной клик на том svchost.exe который грузит проц после этого открывается окно свойст данного процесса и в этом окне переходишь на вкладку Treads и смотришь кто там именно грузит ЦП

spb_dqz Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File:: c:\documents and settings\Администратор\Application Data\Hevqvx.exe c:\documents and settings\Администратор\Application Data\addoon32.exe c:\windows\system32\c9mgr.exe c:\windows\jodrive32.exe c:\documents and settings\Администратор\Application Data\wsprintsrv.exe c:\recycler\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe Driver:: Folder:: Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] "Hevqvx"=- FileLook:: RegLock::KillAll:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, то выложи его тут на форумме Добавлено спустя 1 минуту 43 секунды: Раднаев Кирилл в логах чисто