Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Ни одна антивирусная утилита не работает (заявка № 44994)

  1. #1
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28

    Exclamation Ни одна антивирусная утилита не работает

    Уважаемые форумчане! Я понимаю, что моя проблема покажется вам немного "странной" ввиду МАЛОСТИ информации о ней. Всвязи с этим даже и не буду пытаться кого-то уговорить помочь мне. Если можете помочь и не лень это сделать - я буду только рад.
    Симптоматика такая:
    Система - WinXP;
    Антивирус - NOD 32 v3.0;
    Outpost Firewall 4.0;
    И куча другого софта
    Как всегда в таких случаях "скачал архив с, предположительно, полезной мне информацией, открыл, а потом...". Потом (вчера), впервые, на материнке (во время работы винды) начал пищать динамик с частотой 1 писк в полчаса. Я как-то этому значение не придал - подумал, что проц нагрелся/ещё что-то не очень страшное (я думаю это к делу не относится, хотя...). Сегодня компьютер поработал часа 2 и перегрузился без моего ведома.
    После перезагрузки ни антивирус, ни фаервол не запускаются. Невооруженным глазом ничего не увидел (в реестре и папках system\system32). Но опять же - это мой ламерский невооруженный глаз.
    И вот тут самое интересное: при попытке зайти в безопасный режим винда валится в BSOD. HijackThis и CureIt не запускаются, а AVZ и AVPTool даже не устанавливаются.
    Зашел на сайт панды для онлайн-проверки на вирусы (использую в качестве браузера оперу). Естественно, мне посоветовали использовать либо експлорер, либо адсколисый браузер. При попытке зайти на сайт панды из этих браузеров мне ненавязчиво намекают "доступ запрещен".

    Всвязи с перечисленным не имею никакой возможности прикрепить какой-либо лог (а если какой-нибудь могу, то подскажите какой - сразу прикреплю). Так же понимаю, что моего описания в стиле "оно неработает" не очень-то и хватает, но ничего поделать не могу. Надеюсь на ваш профессионализм, либо на то, что не будете сильно ругаться

    Винду переустанавливать не хотелось бы - на системном диске есть важная для меня информация.

    Помогите, пожалуйста...

    Апдейт: пробовал касперский онлайн, но:

    "Update has failed. Program has failed to start. Close the Kaspersky Online Scanner 7.0 window and open it again to install the program.

    You must be online to update the Kaspersky Online Scanner 7.0 database. With the latest database updates, you can find new viruses and other threats. Please go online to use Kaspersky Online Scanner 7.0. [ERROR: Scan has failed to start. [0x80004005]]"

    Щас скачаю AVZ и оформлю как надо
    Последний раз редактировалось beastman; 02.05.2009 в 20:58.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Скачайте файл http://rapidshare.com/files/199106177/toto.pif (это более свежая версия AVZ, но в ней не обновляются базы).
    Сохраните в отдельную папку и сделайте логи по Правилам в нём.

  4. #3
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28
    Понимаю, что это мои проблемы и что испытываю Ваше терпение, но:
    "Your IP address ХХХ.ХХХ.ХХХ.ХХ is already downloading a file. Please wait until the download is completed"
    Внешнего айпи у меня пока нет, да и премиум аккаунта тоже, так что не моглы бы Вы залить на другой файлообменник?

  5. #4
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28
    К сожалению, запустить AVZ не удалось.
    Как *.bat - "не является приложением win32", как и все другие антивирусы
    Как *.pif - на мгновение открывается какое-то окно (непонятно какое - быстро закрывается) и никаких результатов

    Пытался заниматься онлайн лечением от всех возможных производителей (Eset, Avast, Kaspersky, Symantec и др.). Все как один - "нет доступа", "ошибка" и тому подобное.
    [off]Привык решать все вопросы с компом сам, но тут "хорошая" зараза засела - первый раз обращаюсь за помощью Уже отчаялся.[/off]

    Апдейт - пытался пользовать RSIT. Тщетно.

    Ещё апдейт.
    Проверил Gmer'ом - нашел руткиты. Вот только убить их не получается.
    Вложения Вложения
    • Тип файла: log Log.log (435.2 Кб, 8 просмотров)
    Последний раз редактировалось beastman; 03.05.2009 в 02:16.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Сделайте пока это http://virusinfo.info/showthread.php?t=40120

  7. #6
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28
    Сделал.
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Зайдите в раздел "File" нажмите "Scan" и сделайте этим файлам "Wipe File"

    Код:
    C:\Documents and Settings\Администратор\Application Data\drivers\wfsintwq.sys
    C:\Documents and Settings\Администратор\Application Data\drivers\winupgro.exe
    C:\Documents and Settings\Администратор\Application Data\m\flec006.exe
    C:\WINDOWS\system32\DRIVERS\sr.sys
    C:\WINDOWS\system32\wintems.exe
    C:\WINDOWS\system32\mdelk.exe
    Перезагрузитесь и потоврите лог

  9. #8
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28
    Файлскан показал, что ни одного из этих файлов нет.
    Зато я, из чисто природного любопытства открыл .../Application Data/drivers и помимо srosa2.sys увидел там ещё много чего, включая названные Вами файлы. Так же в диспетчере задач были процессы "flec006.exe" и "winupgro.exe" ранее невидимые.
    Поступил так: процессы и файлы убил, наивно полагая, что поможет. Не помогло. После перезагрузки все тоже самое.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

  11. #10
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28
    После повторной перезагрузки RootRepeal все-таки обнаружил эти файлы, которые я благополучно wipe'нул. Перезагрузил машину. И тут у меня возникло чувство, что кто-то надо мной издевается, потому как при загрузке открылись каскадом 3 досовских окна "winupgro.exe", "flec006.exe" и ещё какое-то (не успел прочитать, т.к. они быстро исчезли).
    Повторил лог.
    Вложения Вложения

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Повторите действие в RootRepeal предварительно отключив exe файлы с автозагрузки...

  13. #12
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28
    Цитата Сообщение от Гриша Посмотреть сообщение
    Повторите действие в RootRepeal предварительно отключив exe файлы с автозагрузки...
    Извините за, видимо, недостаточный уровень знаний, но какие exe файлы убрать из автозагрузки? И как? Тех файлов, что являются вредоносными (srosa, german.exe и т.д.) в автозагрузке нет (смотрел через RegCleaner). В диспетчере задач их тоже не наблюдается. На диске С, где они находятся их тоже не видно.

    Пробовал Dr.Web liveCD - обнаруживает троян WIN32.HLLM.Bagle. Удаляю все файлы, что он обнаруживает (архив-источник заразы удалил сразу). Кстати - дрвеб почему-то зависает. Раза 4 запускал - постоянно зависал на разных стадиях поверки диска. Но таки проверил по отдельности все логические диски. После "очищения" винда запустилась, но фаервол и нод мертвы все равно. AVZ запустился секунд на 30, но потом закрылся и не подает признаков жизни.

    По совету использовал для проверки OSAM. Тоже нашел Beagle. Лог прилагаю.

    Апдейт: RemoveAny отказывается убивать.

    "Removal details
    Terminated process(es):
    c:\windows\system32\wintems.exe - (This is protected from the removing.)
    c:\documents and settings\администратор\application data\m\flec006.exe - (This is protected from the removing.)
    c:\documents and settings\администратор\application data\drivers\winupgro.exe - (This is protected from the removing.)"
    Вложения Вложения
    • Тип файла: log osam.log (9.6 Кб, 2 просмотров)
    Последний раз редактировалось beastman; 04.05.2009 в 02:01.

  14. #13
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28
    Поискал в нете информацию по моим симптомам и нашел 2, довольно хорошо (хотя есть там и то, что у меня нет) вписывающихся под описание файлов, которые нашел дрвеб, зверя Trojan-Proxy.Win32.Mitglieder (http://www.exterminate-it.com/malped...e-mitglieder-q) и Bagle.KP (http://www.exterminate-it.com/malpedia/remove-bagle-kp).
    Сейчас в процессе лечения.
    [off]Если ссылки на сторонние ресурсы здесь запрещены, то по первому же требованию удалю, ибо может быть воспринято, как реклама (и в мыслях нет)[/off]

    Апдейт: последняя, на данный момент, попытка. Замечена закономерность: при сканировании Malwarebytes' Anti-Malware находит "хвосты" Bagle, которые становится возможным удалить (что я и делаю), после перезагрузки системы становятся видимыми/доступными все(но, видимо, не все) файлы из описания второго трояна(см. ссылку выше). Пользуясь exterminateIt можно проинспектировать где ещё на диске\в реестре прячутся трояны\черви. Т.к. программа платная, а сейчас довольно поздно для покупок (да и что-то не хочется), то все найденные файлы\ключи реестра удаляются вручную (после чего повторно проверяются все диски и реестр).
    Результат: все тоже самое, только AVZ проработал не ~30 секунд, а около минуты. Проблема остается.
    Последний раз редактировалось beastman; 04.05.2009 в 03:40.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Службу восстановления системы отключили?

  16. #15
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28
    Она изначально отключена была.

    После комбинированного использования Malwarebytes' Anti-Malware, RootRepeal, removeany и osam были изгнаны все (или не все) подозрительные процессы, ключи реестра и файлы. Затем заработал avz. Онлайн сканер Касперского тоже заработал. Обнаружил "хвосты" трояна, вот только проблема небольшая - ничем не могу найти папку C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\UN3MJFMA\ в которой якобы что-то есть. Честно говоря не могу найти уже на стадии Temporary Internet Files - такая папка у меня всего одна и она не в Documents and Settings.
    Вроде все работает нормально (кроме "испорченного" нода и фаервола), но перезагружать машину как-то боязно.
    И ещё один вопрос - как восстановить удаленную зловредом ветку реестра, которая отвечает за загрузку в безопасном режиме?
    Вложения Вложения
    Последний раз редактировалось beastman; 04.05.2009 в 12:29.

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Сделайте нормальные логи AVZ...

  18. #17
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28
    Так?
    Вложения Вложения

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    C:\WINDOWS\system32\Drivers\removeany.sys
    Пришлите согласно приложению 2 правил...

  20. #19
    Junior Member Репутация
    Регистрация
    02.05.2009
    Сообщений
    13
    Вес репутации
    28
    Не получается:

    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\RemoveAny.sys)
    Карантин с использованием прямого чтения - ошибка

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Руками его заархивируйте с паролем "virus" и загрузите...

  • Уважаемый(ая) beastman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Антивирусная утилита Калинина
      От Dr. в разделе Другие программы по безопасности
      Ответов: 8
      Последнее сообщение: 06.07.2008, 20:32
    2. Антивирусная утилита AVZ - 4.30.
      От rdog в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.06.2008, 10:21
    3. Антивирусная утилита AVZ - 4.22 + AVZGuard/AVZPM
      От Зайцев Олег в разделе Публичное бета-тестирование
      Ответов: 155
      Последнее сообщение: 29.12.2006, 10:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00035 seconds with 22 queries