Комп постоянно перезагружается и требует проверку диска

[Natrix]

Если при загрузке не пропустить проверку диска, то через пару минут работы компьютер перезагружается.
Были глюки с панелью задач. Зависал эксплорер при загрузке яндекса. Отключался брандмауэр. Постоянно появляется желтый треугольник на панели задач и сообщение, что какой-нибудь файл поврежден. Помогите!!!

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\1F.tmp','');
 QuarantineFile('C:\1B.tmp','');
 QuarantineFile('C:\9.tmp','');
 QuarantineFile('C:\14.tmp','');
 QuarantineFile('C:\B.tmp','');
 QuarantineFile('C:\1.tmp','');
 QuarantineFile('C:\WINDOWS\system32\deviceemulator.exe','');
 QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
 QuarantineFile('C:\WINDOWS\system32\ndetect.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\c++.exe','');
 QuarantineFile('C:\WINDOWS\ntfyapp.exe','');
 DeleteService('asc3550p');
 QuarantineFile('c:\sysgvci.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Kwkc56.sys','');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Kwkc56.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\1.tmp');
 DeleteFile('C:\B.tmp');
 DeleteFile('C:\14.tmp');
 DeleteFile('C:\9.tmp');
 DeleteFile('C:\1B.tmp');
 DeleteFile('C:\1F.tmp');
 BC_DeleteSvc('asc3550p');
BC_DeleteSvc('Kwkc56');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[rubin]

Выполните скрипт и полученный карантин пришлите по п.3 Правил

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y56JW9GN\211[1].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VW3YBUV\211[2].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VW3YBUV\211[1].exe','');
 QuarantineFile('C:\1F.tmp','');
 QuarantineFile('C:\1B.tmp','');
 QuarantineFile('C:\9.tmp','');
 QuarantineFile('C:\14.tmp','');
 QuarantineFile('C:\B.tmp','');
 QuarantineFile('C:\1.tmp','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\ndetect.exe','');
 QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
 QuarantineFile('C:\WINDOWS\system32\deviceemulator.exe','');
 QuarantineFile('C:\WINDOWS\system32\7z.exe','');
 QuarantineFile('C:\WINDOWS\system32\c++.exe','');
 QuarantineFile('C:\WINDOWS\ntfyapp.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Kwkc56.sys','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y56JW9GN\211[1].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VW3YBUV\211[2].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VW3YBUV\211[1].exe');
 DeleteFile('C:\1.tmp');
 DeleteFile('C:\B.tmp');
 DeleteFile('C:\14.tmp');
 DeleteFile('C:\9.tmp');
 DeleteFile('C:\1B.tmp');
 DeleteFile('C:\1F.tmp');
 BC_ImportAll;
 BC_QrFile('c:\sysgvci.exe');
 BC_QrFile('C:\Program.exe');
 BC_QrFile('C:\Documents and Settings\Users\nax.exe');
 BC_DeleteFile('c:\sysgvci.exe');
 BC_DeleteFile('C:\Program.exe');
 BC_DeleteFile('C:\Documents and Settings\Users\nax.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteSvc('helpsvc');
 BC_DeleteSvc('lanmanworkstation');
 BC_DeleteSvc('mnmsrvc');
 BC_DeleteSvc('MySQL');
 BC_DeleteSvc('PolicyAgent');
 BC_DeleteSvc('ProtectedStorage');
 BC_DeleteSvc('RasMan');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

[Natrix]

Выполнила скрипт от V_Bond и отправила карантин.
Второй скрипт тоже выполнять? Увидела его уже после.

[V_Bond]

выполните хуже не будет ...

[Natrix]

Выполнила, отправила карантин еще раз. Он оказался гораздо больше

[V_Bond]

C:\1.tmp -TR/Crypt.XPACK.Gen
C:\B.tmp TR/Crypt.XPACK.Gen
C:\14.tmp TR/Crypt.XPACK.Gen
C:\9.tmp TR/Crypt.XPACK.Gen
C:\1B.tmp TR/Crypt.XPACK.Gen
C:\1F.tmp TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\ntos.exe DR/Delphi.Gen
C:\WINDOWS\ntfyapp.exe Trojan.Peed.IQC
C:\WINDOWS\system32\makehm.exe TR/Crypt.FKM.Gen
C:\WINDOWS\system32\c++.exe TR/Crypt.FKM.Gen
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Kwkc56', 'Start');
DeleteFile('C:\WINDOWS\ntfyapp.exe');
DeleteFile('C:\WINDOWS\system32\makehm.exe ');
DeleteFile('C:\WINDOWS\system32\c++.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

повторите логи ...

[Natrix]

Новые логи.
Постоянно появляется предупреждение: windows\system32\drivers\utg4mri1.sys файл поврежден и не может быть прочитан.

[V_Bond]

выполните скрипт ...

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\utg4mzi1.sys','');
 QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
 DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Natrix]

Отправила. Сообщение появляется все равно. Скрипт написал, что выполнен без ошибок, но в окне отчета виднелись красные надписи Ошибка.

[Bratez]

C:\WINDOWS\TEMP\winlogon.exe - Trojan.Win32.Pakes.bty (уже д.б. удален).

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Users\Application Data\Mra\Update\mrasearch.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
 QuarantineFile('C:\WINDOWS\system32\sessmgr.exe','');
 DeleteFile('C:\WINDOWS\system32\i386kd.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите новый карантин.

Если при загрузке не пропустить проверку диска, то через пару минут работы компьютер перезагружается.

Перезагружается в процессе проверки диска? Видимо у вас серьезное повреждение файловой системы и/или сбойные кластеры на жестком диске. Попробуйте несколько раз подряд предоставить компьютеру возможность выполнить проверку, пусть себе перезагружается. Следите за процентами в процессе проверки. Если сбой происходит каждый раз на одном месте и ситуация не меняется, скорее всего вам придется вызвать специалиста или отнести жесткий диск в мастерскую для устранения проблемы.

[Natrix]

C:\WINDOWS\TEMP\winlogon.exe - Trojan.Win32.Pakes.bty (уже д.б. удален).
Да, такого файла нет. Но есть 150 файлов вида ib11. Практически все они нулевого размера. Их можно удалить?

Карантин отправила.
Компьютер перезагружается не во время проверки диска, а после полной или почти полной загрузки. Мне здесь посоветовали проверить диск программой HDDScan. Bad секторы на диске не обнаружены.

Вспомнила еще. Во время всей этой атаки у меня "умер" Др.Веб. Пришлось его переустанавливать. Скажите, он настолько плох, что не только пропустил все эти вырусы, но и сам пострадал? Проверка диска Др.Вебом вирусов не обнаружила.
Можно ли вообще понять когда и откуда вирусы проникли, чтоб туда больше не заходить

Добавлено через 2 часа 24 минуты

Совсем караул какой-то
Упал MySQL сервер, не знаю что делать. Стала смотреть папку куда он установле. В каталоге bin нашла странный файл _install.exe дата создания 14.12.2007 (вчера) 20:49, размер 135168 байт. Задала его в поиск. В результате на диске С в разных папках (в основном в windows, program files, documents and settings) нашлось 144 (!) копии этого файла. Что это? И что делать?

[V_Bond]

во первых сделать новые логи ...
во вторых не лазить по подозрительным ресурсам ....

[Natrix]

Вот новые логи. Уже нет места для их загрузки.

[V_Bond]

пофиксите ...

Код:

O4 - HKCU\..\Run: [ntfyapp] C:\WINDOWS\ntfyapp.exe

выполните скрипт ...

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\utg4mzi1.sys','');
DeleteFile('C:\WINDOWS\ntfyapp.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

[Natrix]

Все сделала.

[Natrix]

Не могу добавить еще один лог.
Что значит: Файл вкладывается в сообщение. ?

[V_Bond]

в логах похоже чисто .... какие проблемы остались ... ?

[Natrix]

вот

[Natrix]

Проверка диска прошла, вроде не перезагрузился. Остался неработающий MySQL сервер
И что делать с теми 144 файлами?