Показано с 1 по 20 из 20.

Проблемы с ноутом (заявка № 10482)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35

    Question Проблемы с ноутом

    На рабочем ноутбуке начальника возникли проблемы: запускается на 5-10 раз (в противном случае ошибка на синем экране), если запускается, то Др.Вэб находит вирусы-трояны, после удаления все равно появляются снова, в частности Backdoor.Bulknet и Trojan.Packed140. В общем невесело, т.к. переустановка очень непроста - есть проблемы с рабочими приложениями, а помощи ждать неоткуда, мы в Аргентине, а они в Питере (наши компьютерщики). Из безопасного режима проверил системный диск AVZ и HiJack, логи прилагаю. Надеюсь на помощь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы.
    Отключитесь от Интернета.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SearchRootkit(true, true);
     ClearQuarantine;
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\luk\Local Settings\Temp\win1D3F.tmp','');
     QuarantineFile('C:\WINDOWS\system32\helper.dll','');
     QuarantineFile('tphklock.dll','');
     QuarantineFile('psqlpwd.dll','');
     QuarantineFile('notifyf2.dll','');
     QuarantineFile('cligumim.exe','');
     QuarantineFile('autorun.bat','');
     QuarantineFile('C:\WINDOWS\system32\wpfcef.dll','');
     QuarantineFile('C:\WINDOWS\system32\vexg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\rpcc.exe','');
     QuarantineFile('C:\WINDOWS\system32\rdsruns.exe','');
     QuarantineFile('C:\WINDOWS\system32\mmswr.exe','');
     QuarantineFile('C:\WINDOWS\system32\kernels32.exe','');
     QuarantineFile('C:\WINDOWS\system32\edconss.exe','');
     QuarantineFile('C:\WINDOWS\system32\cpdbl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\clifhysb.exe','');
     QuarantineFile('C:\WINDOWS\retadpu27.exe','');
     QuarantineFile('C:\DOCUME~1\luk\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\WINDOWS\system32\tphklock.dll','');
     QuarantineFile('\??\C:\WINDOWS\system32\xpdx.sys','');
     QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
     BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_QrFile('C:\WINDOWS\system32\a3dx8.dll');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     ExecuteSysClean;
     ClearHostsFile;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     BC_Activate; 
     RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил)
    Последний раз редактировалось AndreyKa; 19.06.2007 в 00:00.

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35
    Из обычного режима AVZ запускается каким-то кривым и скрипт не выполнить. Можно это сделать из Safe Mode?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Да, скрипт можно запустить из Safe mode.
    Что значит, AVZ запускается кривым и почему скрипт не выполнить?

    После выполения скрипта пофиксте в HijackThis следующие строки:
    O2 - BHO: Helper Class - {850C7964-9320-4055-BE11-7D7B562A6417} - C:\WINDOWS\system32\helper.dll (file missing)
    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227 A755E9C2933154389A284661A64DB7C8F0287E55E246220D9E 728F80D6664366DB7D5475E744AB97
    O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
    O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
    O4 - HKLM\..\Run: [clsvxs] cligumim.exe
    O4 - HKLM\..\Run: [uiprocs] C:\WINDOWS\system32\clifhysb.exe
    O4 - HKLM\..\Run: [newrs32] C:\WINDOWS\system32\edconss.exe
    O4 - HKLM\..\Run: [mwini32] C:\WINDOWS\system32\mmswr.exe
    O4 - HKLM\..\Run: [msrlink] C:\WINDOWS\system32\rdsruns.exe
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vexg6ame4.exe
    O4 - HKCU\..\Run: [clsvxs] cligumim.exe
    O4 - HKCU\..\Run: [uiprocs] C:\WINDOWS\system32\clifhysb.exe
    O4 - HKCU\..\Run: [newrs32] C:\WINDOWS\system32\edconss.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\luk\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\system32\mmswr.exe
    O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\system32\rdsruns.exe
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dx8.dll
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
    O20 - Winlogon Notify: psfus - C:\WINDOWS\SYSTEM32\psqlpwd.dll
    O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
    O21 - SSODL: CDRecorder036 - {A3BC5E20-0235-1ABF-9CE1-00AA00512036} - C:\WINDOWS\system32\cpdbl32.dll (file missing)
    O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\wpfcef.dll (file missing)
    Перезагрузите компьютер.
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме вместе с файлом boot_clr.log из папки AVZ.

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35
    Спасибо за помощь, но все идет не так быстро, как хочется - Hijack не запускается даже переименованный, придется из Safe Mode

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Пожалуйста, делайте то что вам говорят. Вы не прислали карантин, а уже стали фиксить в HijackThis.
    И отвечайте на вопросы. Иначе, помочь вам будет очень сложно.

  8. #7
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35
    AVZ запускается с черными кнопками, скрипт не вставляется.
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35
    А как посылать файлы из карантина, их там много? Все и посылать?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Двадцать четыре файла было заряжено скриптом. Можно считать, что это много. Присылайте, что есть.

  11. #10
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35
    Спасибо за помощь, завтра пришлю

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    1. Выполните скрипт:
    Код:
    begin
    BC_DeleteSVC('runtime');
    BC_DeleteSVC('runtime2');
    BC_DeleteSvc('xpdx');
    BC_DeleteFile('C:\WINDOWS\system32\xpdx.sys');
    BC_Activate;  
    RebootWindows(true); 
    end.
    В безопасном режиме выполните пункт 2 правил -перезагрузитесь.
    После, установив AVZPM, сделайте новые логи.
    Последний раз редактировалось Alex_Goodwin; 19.06.2007 в 04:01.

  13. #12
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35
    Посылаю файлы карантина. По 2 пункту правил - у меня Др.Веб, написано, что в этом случае этот пункт пропустить. И что значи AVZPM??

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    После скрипта от Alex_Goodwin выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\a3dx8.dll');
     DeleteFile('C:\WINDOWS\system32\autorun.*');
     DeleteFile('C:\autorun.*');
     BC_DeleteFile('C:\WINDOWS\system32\a3dx8.dll');
    ExecuteSysClean;
    ClearHostsFile;
    BC_Activate;
    RebootWindows(true);
    end.
    (последует перезагрузка)
    Если возникнут проблемы с открытием дисков через "Мой компьютер",
    решение найдете здесь.
    Если сделать логи в нормальном режиме по-прежнему невозможно,
    сделайте, как написано здесь.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35
    Высылаю логи, сделанные после выполенения скрипта Alex_Goodwin в нормальном режиме. Сейчас буду делать следующий скрипт.
    Вложения Вложения

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Вышлите получившийся карантин. Там много чего отловилось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Сейчас буду делать следующий скрипт.
    Хорошо. После него еще вот этот:
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
    DeleteFile('C:\Documents and Settings\luk\Local Settings\Temp\*.*');
    DeleteFile('C:\WINDOWS\Temp\*.*');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и опять новые логи.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35
    Высылаю последние логи. Все уже гораздо лучше - Windows грузится с первого раза, IE работает.
    Вложения Вложения

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Опять возникают подозрительные файлы во временной папке, странно это,
    хотя в системе вроде бы уже чисто...
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
    O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
    O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
    Обновите базы DrWeb и сделайте полную проверку компьютера в безопасном режиме.
    Надеюсь, на этом ваши проблемы закончатся.
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35
    Но тем не менее, Др.Веб нашел Trojan.Packed.140 в папке С:\Documents_and_Settings\...\Temp
    Да, сейчас сделаю.

  21. #20
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    35
    Большое спасибо за помощь, все работает, вирусов больше не найдено.

  • Уважаемый(ая) Felka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Проблемы с ноутом
      От olorint в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.01.2011, 09:46
    2. Проблемы с ноутом
      От Gessy в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.08.2010, 18:51
    3. Проблемы с ноутом
      От Riddic 2 в разделе Аппаратное обеспечение
      Ответов: 5
      Последнее сообщение: 13.06.2010, 13:35
    4. ПРОБЛЕМЫ С НОУТОМ
      От w1LdF1r3 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.03.2010, 20:48
    5. проблемы с ноутом
      От arturchik в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 09:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00210 seconds with 24 queries