Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

Очень тяжелый случай.... (заявка № 16290)

  1. #1
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33

    Thumbs up Очень тяжелый случай....

    И еще раз Здравствуйте!
    Со вторым компьютером все совсем запущено.....
    Отчеты удалось сделать только в безопасном режиме.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    восстановление системы в безопасном режиме не отключается: "Ошибка восстановления....... Перезагрузите компьютер и повторите попытку""
    а в нормальном режиме система выдает ряд ошибок и уходит в перезагрузку.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    836
    1.В avz выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('halifax1.dll','');
     QuarantineFile('msime80.exe','');
     QuarantineFile('md4hsh.dll','');
     QuarantineFile('crypt32rt.dll','');
     QuarantineFile('C:\WINDOWS\taskmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe','');
     QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
     QuarantineFile('C:\WINDOWS\system32\bolenjx.exe','');
     QuarantineFile('C:\WINDOWS\system32\bolenja.exe','');
     QuarantineFile('C:\WINDOWS\system32\alt.exe.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\win32.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\desktop.exe','');
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\pavdrv51.sys','');
     QuarantineFile('C:\WINDOWS\system32\nvnatv.sys','');
     QuarantineFile('D:\NTACCESS.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito78aa-3a47.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito6f2e-7533.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito3d56-794e.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx05.sys','');
     QuarantineFile('C:\WINDOWS\system32\wsock3.dll','');
     QuarantineFile('C:\WINDOWS\system32\win_p5.dll','');
     QuarantineFile('C:\WINDOWS\system32\md4hsh.dll','');
     QuarantineFile('C:\WINDOWS\system32\crypt32rt.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\system32\crypt32rt.dll');
     DeleteFile('C:\WINDOWS\system32\md4hsh.dll');
     DeleteFile('C:\WINDOWS\system32\win_p5.dll');
     DeleteFile('C:\WINDOWS\system32\wsock3.dll');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\win32.exe');
     DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
     DeleteFile('C:\WINDOWS\system32\bolenja.exe');
     DeleteFile('C:\WINDOWS\system32\bolenjx.exe');
     DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
     DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
     DeleteFile('C:\WINDOWS\taskmon.exe');
     DeleteFile('crypt32rt.dll');
     DeleteFile('md4hsh.dll');
     DeleteFile('msime80.exe');
     DeleteFile('halifax1.dll');
     DeleteFile('C:\autorun.inf');
     DelBHO('{4F45C552-9688-4af2-AA57-15089900E144}');
     DelBHO('{28C703D0-B4A9-4b2f-9123-CE8294761861}');
    ExecuteRepair(1);
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(7);
    ExecuteRepair(9);
    ExecuteRepair(14);
    ExecuteRepair(16);
    BC_ImportALL;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Выслать карантин согласно приложению 3 правил

    Добавлено через 3 минуты

    Проверку CureIt делали? (2 пункт привил)
    Последний раз редактировалось zerocorporated; 11.01.2008 в 21:01. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    ПРОБЛЕМА!!!!
    Система висит на "Запуск Windows....."
    и в безопасном и в нормальном режиме

    Добавлено через 31 секунду

    ...после выполнения скрипта

    Добавлено через 4 минуты

    о, чудо - в безопасном режиме система все-таки прогрузилась!!!!

    Добавлено через 5 минут

    cureit делал - в быстром режиме он почистил несколько виров и троев, а в полном режиме подвис.... (кстати. его пришлось переименовать в Cureit.pif)
    сейчас еще раз просканирую....
    Последний раз редактировалось Awdik; 11.01.2008 в 21:22. Причина: Добавлено

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    cureit.exe - это архив.
    На здоровой машине скачиваете его, распаковываете и в распакованном виде записываете на диск. С диска запускаете _start.exe

  7. #6
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    CureIt прогнал.
    машина очень долго грузится.
    в нормальном режиме теперь работает без перезагрузки, но AVZ на скрипте леченя\карантина и сбора виснет почти сразу....
    восстановление системы отключить не удается - функция заблокирована\перехвачена.
    сейчас пробую выполнить скрипты в безопасном режиме...

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Можно попробовать avz.exe переименовать в game.pif

  9. #8
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    1. первый скрипт прошел почти до конца, написал в конце "исследование системы..." и так и не закончился. пришлось снять задачу.
    2. второй скрипт
    в самом начале на проверке памяти виснет, обрабатывая system32\svchost.exe

    ЧТО ДЕЛАТЬ?

    Добавлено через 2 минуты

    окно "Запуск Windows" и в нормальном режиме и в безопасном (перед прорисовкой значков выбора учетных записей) грузится\висит примерно 7 минут
    Последний раз редактировалось Awdik; 12.01.2008 в 00:02. Причина: Добавлено

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    можете сделать логи авз хотя бы в безопасном режиме ?

  11. #10
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    это как раз в безопасном режиме я и пытался сделать.....

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Скачайте эту программу:
    http://www.tacktech.com/pub/winsockfix/WinsockFix.zip

    Дождитесь полной загрузки системы в нормалном режиме, запустите скачанную программу и нажмите кнопку Fix. По окончании ее работы будет перезагрузка. Запуск системы должен нормализоваться. Имейте ввиду, что программа сбрасывает настройки сетевых подключений, поэтому запишите их заранее и потом введите на место.

    Надеюсь, после этого появится возможность нормально сделать логи.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    Спасибо за помощь - я уже подумывал о сносе данных с диска...

    вчера до 5-ти часов ночи (г. Пермь - у нас + 2 часа от Москвы) просидел с чистками и попытками создания отчетов = все заканчивалось подвисанием на "выполняется исследование системы" (и занимало уйму времени).

    после winsockfix работа нормализовалась и отчеты уже сгенерил в нормальном режиме. ...
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    +
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    ....а теперь svchost.exe забрасывает ошибками приложения: " инструкция по адресу .......память не может быть "written"

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O20 - AppInit_DLLs: kus109.dat
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
    O20 - Winlogon Notify: crypt32 - C:\WINDOWS\
    O20 - Winlogon Notify: md4hsh - C:\WINDOWS\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('msfir80.exe','');
     QuarantineFile('kus109.dat','');
     QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\desktop.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\WINDOWS\system32\lrito78aa-3a47.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito6f2e-7533.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys','');
     QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
     QuarantineFile('C:\WINDOWS\system32\users32.dat','');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\MSCORE.DLL','');
     DeleteFile('C:\WINDOWS\system32\users32.dat');
     DeleteFile('C:\WINDOWS\system32\xpdx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Djo16.sys');
     DeleteFile('C:\WINDOWS\system32\lrito6f2e-7533.sys');
     DeleteFile('C:\WINDOWS\system32\lrito78aa-3a47.sys');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\Documents and Settings\LocalService\desktop.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
     DeleteFile('C:\WINDOWS\system32\kus109.dat');
     DeleteFile('C:\WINDOWS\system32\msfir80.exe');
    BC_ImportALL;
     BC_QrSvc('asc3550p');
     BC_DeleteSvc('asc3550p');
     BC_DeleteSvc('Djo16');
     BC_DeleteSvc('lrito78aa-3a47');
     BC_DeleteSvc('lrito6f2e-7533');
     BC_DeleteSvc('xpdx');
    ExecuteSysClean;
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    карантин сохранён как080112_055352_virus_4788aa5020812.zip

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Trojan.Win32.Zapchast.dz C:\WINDOWS\system32\MSCORE.DLL
    AdWare.Win32.Agent.zo C:\WINDOWS\system32\users32.dat
    Trojan.Win32.Patched.bh C:\WINDOWS\system32\svchost.exe

    Выполните:
    Код:
    var x : Integer;
    Begin
    x := CheckFile('%windir%\system32\dllcache\svchost.exe');
    If x = 3 then
    begin
    AddToLog('>>>Файл опознан как безопасный, продолжаем');
    RenameFile('%windir%\system32\svchost.exe', '%windir%\system32\svchost.bak');
    CopyFile('%windir%\system32\dllcache\svchost.exe', '%windir%\system32\svchost.exe');
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','SFCDisable',000000000);
    BC_DeleteFile('%windir%\System32\MSCORE.DLL');
    BC_DeleteFile('%windir%\system32\svchost.bak');
    BC_Activate;
    SaveLog(GetAVZDirectory + 'cure.log');
    RebootWindows(true);
    end else
    AddToLog('>>>Файл не опознан как безопасный, стоп!');
    SaveLog(GetAVZDirectory + 'cure.log');
    end.
    Сделайте новый комплект логов и прикрепите cure.log из папки с AVZ
    Последний раз редактировалось rubin; 12.01.2008 в 15:30. Причина: исправил

  19. #18
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    ,...а вот и логи
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    33
    ....это выгружено до последнего скрипта.

    Добавлено через 4 минуты

    а скажите, пожалуйста, из-за чего вчера вечером система загибалась после первого скрипта? это связано со скриптом zerocorporated или так совпало?
    Последний раз редактировалось Awdik; 12.01.2008 в 15:20. Причина: Добавлено

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Тогда после скрипта из поста 17 логи не делайте, выполните скрипт в посте 17, затем этот скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('%WINDIR%\SYSTEM32\msfir80.exe');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Iot85.sys');
     BC_ImportDeletedList;
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Iot85.sys');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Iot85');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    И только потом логи

    Добавлено через 1 минуту

    это связано со скриптом zerocorporated или так совпало?
    Ничего, что могло бы это вызвать, в том скрипте нет
    Последний раз редактировалось rubin; 12.01.2008 в 15:22. Причина: Добавлено

  • Уважаемый(ая) Awdik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Винлокер - тяжелый случай =(
      От AnyaBest в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.07.2011, 20:16
    2. Тяжелый случай
      От DasTPID в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 29.07.2010, 11:04
    3. Тяжелый случай
      От Antonnio в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.07.2009, 02:43
    4. Руткит-невидимка, тяжелый случай
      От ZeroDance в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 03.04.2009, 23:09
    5. Ответов: 24
      Последнее сообщение: 23.11.2007, 08:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00494 seconds with 23 queries