Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 58.

Уважаемые помогите пожалуйста вылечить bcp78.sys (Trojan.Pentax) (заявка № 16443)

  1. #1
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    35

    Thumbs up Уважаемые помогите пожалуйста вылечить bcp78.sys (Trojan.Pentax)

    Уважаемые здравствуйте

    на экране машины вываливается сообщение что заблокировано выполнение программы и sav10 выдает сообщение что нашел Trojan.Pentax в файле c:\windows\system\drivers\bcp78.sys (этот же bcp78.sys лежит и в c:\windows\)
    (рекомендации с сайта дядькит Нортона не помогают так как указанных там в рекомендации веток реестра у меня нет)
    а еще находит smtpdrv.sys
    Последний раз редактировалось taishigo; 04.03.2008 в 18:02.

  2. Реклама
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    а лог HJT ?

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('Rnt36');
     StopService('Bcp78');
     DelBHO('E4B4FEAA-FC1B-488d-9AA4-EDD924EAA809');
     QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Bcp78.sys','');
     QuarantineFile('c:\windows\system32\vhosts.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Rnt36.sys','');
     QuarantineFile('C:\WINDOWS\Bcp78.sys','');
     DeleteFile('C:\WINDOWS\Bcp78.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Rnt36.sys');
     DeleteFile('c:\windows\system32\vhosts.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bcp78.sys');
     DeleteService('Rnt36');
     DeleteService('Bcp78');
     DeleteService('msupdate');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  5. #4
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    35
    лекарство не помогло - диагноз прежний
    Generic Host Process for W32 Service вызвал проблему и требует завершения
    и свнова окошо SAV об обнаружении того же самого bcp78.sys

    сейчас карантин пришлю
    (пошел правила читать - а это в прошлый раз файл с вирусом выложил прямо в тему - заработал "благодарность" от всего прогрессивного человечества)

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Где повторные логи? Firewall на компьютере есть? Если нет, включите Windows Firewall.

  7. #6
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    35
    карантин ушел

    Добавлено через 1 час 44 минуты

    FireWall защищает всю сетку и в инет весь народ ходит через прокси (squid)
    повторный запуск стандартного скрипта (№3) вызывает "самопроизвольную" перезаругку системы
    попробую завтра с утра в безпосном режиме прогнать скрипт
    Последний раз редактировалось taishigo; 15.01.2008 в 14:26. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    35
    от еще странный эффект на машине происходит
    в папке c:\windows\pchealth\ERRORREP\UserDump\ куча файлов
    типа svchost.exe2008...hdmp - весь диск С забит.

    (стандартные скрипты AVZ удалось выполнить только в безопасном режиме)
    Последний раз редактировалось taishigo; 04.03.2008 в 18:02.

  9. #8
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     StopService('FCI');
     StopService('Rnt36');
     StopService('Bcp78');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     DeleteFile('C:\WINDOWS\Bcp78.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Rnt36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bcp78.sys');
     DeleteService('FCI');
     DeleteService('Rnt36');
     DeleteService('Bcp78');
     SysCleanAddFile('drive01.dll');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Попробуйте сделать логи в нормальном режиме. Очистите ПК от мусора. Подробнее здесь.

  10. #9
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    35
    диагноз прежний - выскакивает окно с ошибкой Generic host...
    но зато удалось прогнать avz в обычном режиме
    вот логи
    Последний раз редактировалось taishigo; 04.03.2008 в 18:02.

  11. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SetAVZGuardStatus(true);
     DeleteFile('c:\windows\system32\vhosts.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Rnt36.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     BC_ImportDeletedList;
     BC_Activate;
     SysCleanAddFile('Pqr50.sys');
     SysCleanAddFile('c:\windows\system32\vhosts.exe');
     SysCleanAddFile('C:\WINDOWS\System32\Drivers\Rnt36.sys');
     SysCleanAddFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи. Включите Windows Firewall.
    Последний раз редактировалось Макcим; 16.01.2008 в 13:04.

  12. #11
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    35
    a firewall зачем включать ?
    (повторюсь вся сеть сидит за freebsd+ipfw+nat+squid)

  13. #12
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Включите... Посмотрим что будет.

  14. #13
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    35
    окошко с ошибкой generic host перестало выскаивать
    но при перезагрузке вывалилось окошко "система восстановлена после серьезной ошибки", хотя функция восстановления откючена давно
    и выполнить скрипты avz не удалось машина самопроизвольно перегрузилась

  15. #14
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Попробуйте выполнить скрипт ещё раз, я внес в него некоторые правки.

  16. #15
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    35
    выполил обновленный скрипт, фаервол включил
    окошки не выскаивают
    подождем денек о результатах отпишусь

    Добавлено через 1 минуту

    сканирование AVZ не смогу сейчас сделать - сижу удаленно
    Последний раз редактировалось taishigo; 16.01.2008 в 14:02. Причина: Добавлено

  17. #16
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Как только сможете, делайте логи. Разберитесь также где утечка, кто-то машину атакует не смотря на все прокси...

  18. #17
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    35
    не помогло
    при перезагрузке вываливается окно "система восстановлена после серьезной ошибки"
    запуск 3-го скрипта AVZ вызывает перезагруз машины

    сделал сканирование в безопасном режиме

    (и еще одна фигня у всех узеров при печати на сетевых принтерах hp2015dn если есть таблицы (например в xls) то в документе печатается только текст)
    Последний раз редактировалось taishigo; 04.03.2008 в 18:01.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните такой скрипт в AVZ:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Pqr50\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Pqr50.sys');
     BC_DeleteSvc('Pqr50');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Pqr50.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
     end.
    После перезагрузки повторите лог syscheck (п.10 правил)
    и прикрепите файл boot_clr.log из папки с AVZ.
    I am not young enough to know everything...

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    если выше сказанное проблему не решит ...
    можно провести еще такую пртседуру ...
    скачать ...
    - отключить антивирус
    - оключиться от интернета
    tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\drivers\Pqr50.sys - direct file content wiping - do operation - закрыть программу..
    - перезагрузится ...
    выполните скрипт ...
    Код:
    begin
     BC_DeleteSvc('Pqr50');
     BC_Activate;
     RebootWindows(true);
    end.
    повторите логи ...

  21. #20
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    35
    Система не может загрузится

    Добавлено через 41 секунду

    после последнего лечения
    Последний раз редактировалось taishigo; 17.01.2008 в 11:53. Причина: Добавлено

  • Уважаемый(ая) taishigo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 13.08.2009, 15:09
    2. Помогите вылечить заразу, пожалуйста.
      От emishin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.07.2009, 19:21
    3. Помогите вылечить комп пожалуйста!!!!
      От janus в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.04.2009, 23:15
    4. Ответов: 1
      Последнее сообщение: 17.03.2009, 16:35
    5. Помогите пожалуйста вылечить комп!!!
      От vlad_1976 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.10.2008, 15:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00231 seconds with 22 queries