Показано с 1 по 19 из 19.

Бьюсь второй день, но не получается.... (заявка № 32678)

  1. #1
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30

    Exclamation Бьюсь второй день, но не получается....

    Проблема в том, что нет возможности войти в safe mode, т.к. гибнет на mup.sys (видимо связано с железом - т.к. пробовал разные скрипты восстановления). Но могу работать с диском запустив Висту на соседнем диске. Вроде находит вирусы и удаляет и ручками многие удалил, но до реестра дотянуться нет возможности. На зараженной системе могу запустить только переименованные файлы avz и hijackthis. Согласно правилам прилагаю файлы. Буду признателен если будет возможность помочь.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 26.10.2008 в 19:30.

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Выполните скрипт 2 раза!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
     DeleteFile('WinUpdating.exe');
     DeleteFile('c:\windows\system32\drivers\winfilse.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end;
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end;
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    Повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30
    выполнил скрипт 2 раза и повторяю логи. Очень благодарен за Вашу помощь.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 25.10.2008 в 00:28. Причина: карантин в теме

  5. #4
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30
    Странно.... вкладывал все логи . Повторяю....
    Последний раз редактировалось V_Bond; 25.10.2008 в 00:34. Причина: еще раз увижу карантин в теме - закрою ...

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\___dumprep___ 0 -k','');
     QuarantineFile('C:\WINDOWS\system32\WinSpooler.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
     QuarantineFile('c:\windows\system32\drivers\winfilse.exe','');
     DeleteFile('c:\windows\system32\drivers\winfilse.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
     DeleteFile('C:\WINDOWS\system32\WinSpooler.exe');
     DeleteFile('C:\WINDOWS\system32\___dumprep___ 0 -k');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  7. #6
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30
    Карантин выслал, логи повторяю.

    P.S. Извиняюсь за ранее вложенный карантин - невнимательность уже связанна с усталостью.
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30
    Может что не так сделал? Стоит ли ждать ответа?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Цитата Сообщение от AntonKr Посмотреть сообщение
    Стоит ли ждать ответа?
    Да, стоит. Просто эксперты и хэлперы работают сразу с несколькими темами и не всегда могут ответить сразу же. Плюс к этому на анализ логов уходит какое-то время.
    Короче -- не волнуйтесь, про Вас не забыли. Просто периодически проверяйте свою тему.
    Наше дело правое--победа будет за нами!!!

  10. #9
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30
    Спасибо. Я, на всякий случай, отправил свой "зловред" в соответстующую тему.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     ClearQuarantine;       
     QuarantineFile('C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe','');
     QuarantineFile('C:\Program Files\QuickTime\qttask.exe','');
     QuarantineFile('C:\WINDOWS\system32\vsjitdebugger.exe','');
    end.
    Загрузите карантин...

  12. #11
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30
    Карантин загружен.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe-Trojan-Downloader.Win32.Bagle.aei

    Выполнить скрипт 2 раза!

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
     DeleteFile('c:\windows\system32\drivers\winfilse.exe');
     DeleteFile('C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end;
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end;
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
    SaveLog(GetAVZDirectory + 'B_d.txt');
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Повторите логи...

  14. #13
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30
    Я уже понял, что именно в этом файле. Прикрепил логи выполнения скрипта и текущие логи Хайджека и АВЗ. Вроде сейчас все успокоилось. Большое Вам спасибо за Вашу помощь. А донейшен по пэйпалу можно сделать?
    Вложения Вложения

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('WinSpooler.exe');
     DeleteFile('C:\WINDOWS\system32\WinSpooler.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Выполните полную проверку CureIT, логи повторите...

  16. #15
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30
    CureIT проверку сделал, нашлось парочка троянов. Далее выполнил АВЗ и Хайджек. Логи повторяю.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30
    Деинсталировал камеру, установленную сегодня для чистоты логов. Логи пересобрал:
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите
    Код:
    O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe
    сделайте новые логи по правилам

  19. #18
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    30
    Пофиксил, логи прикрепил.
    Вложения Вложения

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Чисто...

  • Уважаемый(ая) AntonKr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Уже второй день не могу отправить ЛС!!!
      От nfs911 в разделе Технические и иные вопросы
      Ответов: 0
      Последнее сообщение: 29.12.2010, 01:14
    2. Ответов: 8
      Последнее сообщение: 05.08.2010, 16:23
    3. Не получается скачать Dr.Web CureIt
      От kunr6erk7d в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.05.2010, 23:14
    4. компьютер мигает черным окном уже второй день
      От Владимир Олейник в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.08.2009, 20:22
    5. Создатели OpenDNS получают $20 тыс. в день
      От ALEX(XX) в разделе Другие новости
      Ответов: 1
      Последнее сообщение: 22.07.2008, 22:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00148 seconds with 22 queries