BSOD при запуске сканирования утилитой DrWeb CureIt [Trojan-Spy.Win32.Zbot.jlrz ]

**2olegend** · 14.03.2013, 22:23

Добрый вечер!

Проблемы:

1. ~2 недели назад начала очень долго запускаться Windows (после приветствия).

2. ~ 1 неделю назад чистил реестр с помощью CCleaner, отключил некоторые программы автозапуска, проверил все диски антивирусом Avira Personal Free (базы данных не обновлялись с 31.12.2012, антивирус ничего не нашёл) - проблема п.1 не решилась.

4. Вчера-сегодня почти при каждом запуске Windows начали запускаться случайные службы без запроса (Передача файлов через Bluetooth, Свойства системы и т.д.).
Также стали закрываться при использовании различные программы с выводом ошибки. Периодически не запускаются браузеры (IE, Firefox, Opera). Начались "зависания" при работе Opera, просмотре файлов и папок.

6. Сегодня была скачана утилита DrWeb CureIt. При запуске и начале сканирования системы появляется BSOD. В безопасном режиме - тоже. Единственный антивирус (Avira) при запуске CureIt отключал.

Файлы прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.03.2013, 22:24

Уважаемый(ая) 2olegend, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**2olegend** · 14.03.2013, 23:27

Забыл ещё добавить:
1) сегодня регулярно при запуске Windows появляется сообщение "Восстановление рабочего стола Active Desktop". После нажатия "восстановить" - выводится "ошибка сценария IExplorer", восстановления не происходит.

2) AVZ обновлять базы отказывается, выдаёт ошибку.

- - - Добавлено - - -

В процессах (Диспетчер задач) появилось 9 копий процесса svchost.exe.

**Techno** · 15.03.2013, 20:18

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\cmd.exe','');
 QuarantineFile('C:\WINDOWS\system32\dskquoui.dll','');
 QuarantineFile('C:\Documents and Settings\Администратор\fswagz.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\cbzvl.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Gesi\madiv.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\24109B\24109B.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\rwhIm9hsLM4.exe','');
 DeleteFile('c:\Temp\A3F7A215.sys');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\rwhIm9hsLM4.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\24109B\24109B.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Gesi\madiv.exe');
 DeleteFile('C:\Documents and Settings\Администратор\cbzvl.exe');
 DeleteFile('C:\Documents and Settings\Администратор\fswagz.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{017EFD62-FCB2-E94D-AB5E-F49AB7DA08CD}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','GNU');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
 DeleteService('A3F7A215');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Установите SP3 (может потребоваться активация), а также все доступные обновления для Windows

- Сделайте лог полного сканирования MBAM.

**2olegend** · 15.03.2013, 23:22

Карантин прислал.

SP3 устанавливаться отказывается (Ошибка программы установки Пакет обновления 3: файл d:\...\i386\update\update.inf неправилен), все способы устранения данной ошибки (c cайта Майкрософта) испробовал - все равно не устанавливается.

Обновления для Windows не устанавливаются с сайта Microsoft (error 0x80248015 WU_E_DS_SERVICEEXPIRED An operation did not complete because the registration of the service has expired.)

MBAM лог:

**Techno** · 16.03.2013, 10:04

Удалите в MBAM:

Код:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{D263FA6D-84CC-48A8-9AF6-C664362B7A5B} (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D263FA6D-84CC-48A8-9AF6-C664362B7A5B} (Trojan.BHO) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService (PUP.InstallBrain) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\IBUpdaterService\ibsvc.VIR (PUP.BundleInstaller.IB) -> Действие не было предпринято.
C:\System Volume Information\_restore{9E6C5723-46C7-4470-A64D-48AAD21F80AA}\RP1\A0001051.exe (Trojan.EOFail) -> Действие не было предпринято.

C:\Documents and Settings\LocalService\Local Settings\Temp\2F88.tmp (Exploit.Drop.GS) -> Действие не было предпринято.
C:\Temp\2F88.tmp (Exploit.Drop.GS) -> Действие не было предпринято.
C:\Program Files\Common Files\System\Uninstall\Uninstall A360.lnk (Rogue.AV360) -> Действие не было предпринято.
C:\Program Files\HSDiagram.dll (Spyware.OnlineGames) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Скачиваем http://www.microsoft.com/ru-ru/downl...ion.aspx?id=24 и пробуем установить.

**2olegend** · 16.03.2013, 14:40

Удалил в MBAM указанные Вами файлы. После перезагрузки компьютера Windows запускается, но полностью отсутствует рабочий стол и панель задач (на экране только картинка рабочего стола). При этом в диспетчере задач процесс explorer.exe якобы функционирует.

**Techno** · 16.03.2013, 15:58

Сообщение от 2olegend

При этом в диспетчере задач процесс explorer.exe якобы функционирует.

Если его снять и запустить заново как новую задачу?

**2olegend** · 16.03.2013, 18:33

Сообщение от Techno

Если его снять и запустить заново как новую задачу?

Ничего не даёт. Программы запускаются через Диспетчер задач-Выполнить, а вот рабочего стола нет.
Только недавно заметил - рабочий стол и панели самопроизвольно появляются через 15-20 мин. после загрузки Windows.

Сообщение от Techno

Скачиваем http://www.microsoft.com/ru-ru/downl...ion.aspx?id=24 и пробуем установить.

Все также не устанавливается на Windows это обновление, ошибка та же (Ошибка программы установки Пакет обновления 3: файл d:\...\i386\update\update.inf неправилен).

Да, забыл, вот лог сканирования после удаления указанных выше файлов MBAMом:

**Techno** · 16.03.2013, 19:53

Сообщение от 2olegend

Все также не устанавливается на Windows это обновление, ошибка та же (Ошибка программы установки Пакет обновления 3: файл d:\...\i386\update\update.inf неправилен).

Код ошибки какой?

**2olegend** · 16.03.2013, 20:12

Сообщение от Techno

Код ошибки какой?

В конце этого лога лежит код ошибки:

**Techno** · 16.03.2013, 21:41

- Сделайте лог ComboFix.

**2olegend** · 16.03.2013, 23:20

Сообщение от Techno

- Сделайте лог ComboFix.

Вот он:

- - - Добавлено - - -

После сканирования ComboFix рабочий стол и панели стали появляться более-менее нормально (почти через ~1,5 мин. после загрузки Windows).
Программы (браузеры и т.д.) теперь работают без ошибок.

- - - Добавлено - - -

отставить!
Происходит перезагрузка сра3у после выбора строки системы, бе3опасн.режим тоже не помогает.

**Techno** · 16.03.2013, 23:24

Не понял. Сначала работал потом стал перезагружаться?

**2olegend** · 16.03.2013, 23:29

Да. Последнее, что делалось - установка обновлений Windows при выключении (загружены были с помощью автоматического обновления) - 80 штук. Все установилось, компьютер выключился. Вот после этого и не грузится.

**Techno** · 16.03.2013, 23:32

Безопасный режим загружается? Безопасный режим с поддержкой командной строки? Последняя удачная конфигурация? Еще там должен быть пункт - отключить автоматическую перезагрузку.

**2olegend** · 16.03.2013, 23:39

нет, ни один из них. Сразу экран гаснет и перезагрузка. Беда.

**Techno** · 16.03.2013, 23:40

Такое есть?

Сообщение от Techno

Еще там должен быть пункт - отключить автоматическую перезагрузку.

**2olegend** · 16.03.2013, 23:45

есть, эффект тот же.

**Techno** · 16.03.2013, 23:53

А компьютер работал и вдруг выключился или как?

BSOD при запуске сканирования утилитой DrWeb CureIt [Trojan-Spy.Win32.Zbot.jlrz ] (заявка № 135114)

Опции темы

BSOD при запуске сканирования утилитой DrWeb CureIt [Trojan-Spy.Win32.Zbot.jlrz ]

Похожие темы

BSOD во время сканирования Dr.WEB CureIt

drweb cureit сразу закрывается, avz вызывает BSOD

BSOD при запуске DrWeb

Периодическая (каждые 1-2 часа) перезагрузка с BSOD 50 или 8E. При запуске CureIt - сразу.

ЗАВИСАЕТ КОМ ПРИ ЗАПУСКЕ DrWeb - CureIT!

Метки для этой темы

Ваши права в разделе