-
Junior Member
- Вес репутации
- 50
слетели службы XP, не ставятся антивирусы [Rootkit.Win32.Necurs.jc
]
Очень прошу помощи!! Началось с вируса. Троян и руткиты. Стоял Microsoft Security Essentials - он и поймал, удалил. Сделала быструю проверку, перегрузила - слетела с антивируса защита в режиме реального времени. в службах XP - служба "Автоматического обновления" вообще отсутствует, через ftp вирус пробрался на хостинг. пробовала Not-32 - не ставится, avast - ставится, запускается, но не работает. Security пробовала по всякому - защита в режиме реального времени не появляется. AVPTool - один раз запустился, нашел букет, потом - ни в какую. Вирус . в общем беда да и только.
да, в инструкции сказано должно быть 3 файла - у меня virusinfo_syscure.zip не появляется, все по инструкции делала... сразу syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) miraland, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Drivers\777f3568d1e00bf5.sys','');
QuarantineFile('C:\Documents and Settings\user-pc\Local Settings\Temp\Ajteev\ijow.exe','');
DeleteFile('C:\Documents and Settings\user-pc\Local Settings\Temp\Ajteev\ijow.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ijow');
DeleteFileMask('C:\Documents and Settings\user-pc\Local Settings\Temp\Ajteev', '*', true, ' ');
DeleteDirectory('C:\Documents and Settings\user-pc\Local Settings\Temp\Ajteev');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите в HiJackThis (некоторые строки могут отсутствовать).
Код:
O4 - HKCU\..\Run: [Ijow] "C:\Documents and Settings\user-pc\Local Settings\Temp\Ajteev\ijow.exe"
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Временно отключите драйверы эмуляторов дисков.
- Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
- Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
- После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
- Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
- После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
-
-
Junior Member
- Вес репутации
- 50
Выполнила 2 первых скрипта. получила файл карантина guarantine.zip - не смогла загрузить через "прислать запрошенный карантин" - ответ:
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.
????
-
Выполняйте остальное. В карантин ничего не попало.
-
-
Junior Member
- Вес репутации
- 50
Отчет
По порядку:
1. Выполнила в AVZ скрипты, сохранился quarantine.zip, но отправить его я так и не смогла. С тем же результатом - Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.
2. Пофиксить в HiJackThis не удалось - такой строки нет. Повторные логи сделала все равно: по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )"
3. Загрузила Grem со случайным именем. отключила драйверы, запустила программу - комп ругнулся - как именно - сделала скрин grem1.jpg
4. Лог Grem получился.
- - - Добавлено - - -
кстати, интересное дело - я изменила название файла карантина, который не отправлялся - результат тот-же. Система его не пропускает. -
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
-
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 7p8gmebc.exe случайное имя утилиты (gmer)
Код:
7p8gmebc.exe -del service 777f3568d1e00bf5
7p8gmebc.exe -del file "C:\WINDOWS\System32\Drivers\777f3568d1e00bf5.sys"
7p8gmebc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\777f3568d1e00bf5"
7p8gmebc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\777f3568d1e00bf5"
7p8gmebc.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 50
все сделала запустила сохранённый пакетный файл cleanup.bat. - и комп стал ругаться. скрин отсылаю. Компьютер не перезагружался.
лог gmer я на всякий случай все равно сделала - в приложении
-
GMER не справляется. Сделайте лог TDSSKiller.
- Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
- Запустите файл TDSSKiller.exe.
- Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
- В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
- По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
- Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
- Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
- Самостоятельно без указания консультанта ничего не удаляйте!!!
- После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
- Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
-
-
Junior Member
- Вес репутации
- 50
готово. у меня получилось 2 лога - отсылаю оба. и варианта "Лечение" не было. или убить, или карантин. я поставила карантин.
-
1. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
2. Запакуйте эту папку в архив с паролем "virus";
3. Полученный архив отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.
Запустите еще раз TDSSKiller для объекта C:\WINDOWS\System32\Drivers\777f3568d1e00bf5.sys выберите удаление (Delete). После удаления и перезагрузки сделайте новый лог TDSSKiller.
-
-
Junior Member
- Вес репутации
- 50
готово. файл карантина тоже отправился.
- - - Добавлено - - -
и "любимый" svchost тут же принялся грузить проц на 100%...
-
-
-
Junior Member
- Вес репутации
- 50
что я могу сказать... все как бы стало на места. автообновление, смогла поставить анитвирус винды, он даже "позеленел" - потом пошла за логом gmer. снесла антивирус, отключила драйвера, отключила брандмауэр, перегрузила, запустила Gmer - он без глюков запустился, ничего не нашел на первом этапе, я поставила галку на диске С:\. долго работал, а потом снес мне систему.
появился синий экран с текстом
ошибка KERNEL_STACK_INPAGE_ERROR
че с этим делать - я точно не знаю.
внизу еще код был 0хС0000007
винда начинает грузится, появляется заставка с надписью Windows и бегающей строкой и на этом все. дальше загрузка не идет.
Последний раз редактировалось miraland; 22.03.2014 в 11:21.
-
В безопасном режиме компьютер грузится?
-
-
Junior Member
- Вес репутации
- 50
комп загрузился в обычном режиме. я его включила - и оставила. он минут за 30-40 таки загрузился. пробовала перегрузить - очень тормозит, причем весь. на загрузку может уйти минут 5-10. и все действия ну очень медленны..
-
Сделайте лог DrWebCureit. Лог запакуйте в архив и прикрепите.
-
-
+ Когда просканируете CureIt он найдёт заражённый драйвер
Код:
C:\WINDOWS\System32\Drivers\777f3568d1e00bf5.sys
и предложит его вылечить, согласитесь с этим.
После этого сделайте новый лог TDSSkiller
-
-
Junior Member
- Вес репутации
- 50
лог DrWebCureit готов
- - - Добавлено - - -
лог TDSSkiller . сейчас перегружусь, повторю еще раз.
у меня не прикрепляется этот лог.
а в менеджере вложений есть способность удалять лишнее?
Написано: Загруженные файлы которые не используются будут удалены в течении часа - а у меня там файлы болтаются с 2010 года. как его самостоятельно очистить?
- - - Добавлено - - -
лог TDSSkiller . сейчас перегружусь, повторю еще раз.
у меня не прикрепляется этот лог.
а в менеджере вложений есть способность удалять лишнее?
Написано: Загруженные файлы которые не используются будут удалены в течении часа - а у меня там файлы болтаются с 2010 года. как его самостоятельно очистить?
- - - Добавлено - - -
таки справилась со вложениями, прошу прощения за бестолковость
-
Кажется добили руткит.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-