Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Помогите... (заявка № 46322)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    28

    Thumbs up Помогите...

    Сразу скажу, что не могу приложить ничего, поскольку avz и HijackThis не запускаются, не переименовываются, а avz даже не распаковывается полностью, при попытке поставить еще раз. Теперь суть - вирус блокирует все антивирусы, как и попытки их установки. И безопасный режим тоже. Однако на сайты производителей антивирусов захожу без проблем. Выполняет еще какие-то действия, но что именно - понять не могу. Какое-то время, например, через пару минут после загрузки переставала определяться звуковая карта. Через несколько часов включился снова - теперь работает. Антивирусы по-прежнему не реагируют. CureIt запустился, но сразу с началом сканирования - вылет.
    Вот как-то так...

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Попробуйте этот авз http://rapidshare.de/files/47208693/explorer.pif.html

  4. #3
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    28
    И этот не запускается. Просто не реагирует на нажатие. А обычный avz повисает при попытке запуска.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Скачайте этот AVZ http://rapidshare.com/files/231459517/special_avz.zip и запустите bat-файл в этой папке.
    Если не получится, то выполните это http://virusinfo.info/showthread.php?t=40120

  6. #5
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    28
    Вот. Хоть что-то получилось.
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
     QuarantineFile('C:\explorer.pif','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys','');
     QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe','');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe');
     DeleteFile('C:\WINDOWS\system32\wintems.exe');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys');
     DeleteFile('C:\explorer.pif');
     DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
     DeleteFile('F:\explorer.pif');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=46322).
    Сделайте новые логи.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    28
    Карантин отправил.
    Вложения Вложения

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от xuwrlazv Посмотреть сообщение
    Карантин отправил.
    Нет вашего карантина. Пришлите повторно по указанной ссылке!

    А зверек у вас поселился непростой.
    Найдите возможность воспользоваться другим ПК и сделать такой диск: http://www.freedrweb.com/livecd. Если полная проверка с помощью этого диска не даст результата, то загрузившись с него надо вручную найти и удалить следующие файлы:

    C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe
    C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe
    C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys
    C:\WINDOWS\system32\wintems.exe

    После этого сделать новые логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    28

    Вести с полей.

    Итак...
    1. Проверка LiveCD ничего не дала. (кстати графический режим не запустился)
    2. Указанные файлы удалил. После перезапуска winupgro.exe восстановился, стал виден в процессах, из которых безболезненно удалялся. Остальные удаленные не восстановились.
    3. Свежескачанные avz и HijackThis успешно запустились, ими были сделаны все необходимые логи.
    4. Перед отправкой решил проверить что там с безопасным режимом. При попытке его запустить — все как раньше — бсод/перезагрузка. Все удаленные файлы, кроме wintems.exe снова восстановились, avz и HijackThis снова перестали запускаться.

    Были повторены пункты 2-3, сделаны новые логи, которые и выложил.

    И, как я понимаю, повторная отправка карантина так же была безуспешной?

    (Гугл, кстати, на winupgro.exe выдал массу идентичных с моим случаем симптомов и слово Bagle, которое так же появилось в 14 из 26 результатах при проверке пресловутого winupgro.exe на virustotal. Ну это я так, к слову...)
    Вложения Вложения

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\srosa2.sys','');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\srosa2.sys');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe');
     DeleteFile('C:\WINDOWS\system32\wintems.exe');
    DeleteFileMask('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\downld', '*.*', true);
    DeleteFileMask('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers', '*.*', true);
    BC_ImportALL;
    ExecuteSysClean;
     BC_DeleteSvc('srosa');
     BC_DeleteSvc('sK9Ou0s');
    BC_Activate;
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=46322).
    Сделайте новые логи.

    Добавлено через 3 минуты

    Цитата Сообщение от xuwrlazv Посмотреть сообщение
    (Гугл, кстати, на winupgro.exe выдал массу идентичных с моим случаем симптомов и слово Bagle
    Да, это очевидно свежая модификация известного червя Bagle.
    Последний раз редактировалось Bratez; 25.05.2009 в 06:26. Причина: дополнил скрипт
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    28
    Я идиот... По криворукости своей я удалил папку C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\downld и из-за этого, вероятно, востановились все удаленные ранее файлы. wintems.exe и flec006.exe я удалил, но все, что обитает в папке drivers теперь восстанавливается полностью не зависимо от того что из них я удаляю через LiveCD.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Вы бы как нибудь все же прислали нам образцы, ни одного карантина от вас не поступило. Выполните еще раз то, что написано в сообщении #10, я скрипт немного подправил.
    Последний раз редактировалось Bratez; 25.05.2009 в 06:44.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    28
    Карантин отправил. Это уже четвертая попытка, так что если не получится - может стоит попробовать какой-нибудь альтернативный вариант отправки?
    Логи после выполнения скрипта:
    Вложения Вложения

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Увы, никакого прогресса.
    Попробуйте сделать сканирование свежим AVPtool, загрузившись с LiveCD.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    28
    Цитата Сообщение от Bratez Посмотреть сообщение
    Увы, никакого прогресса.
    Попробуйте сделать сканирование свежим AVPtool, загрузившись с LiveCD.
    Не совсем понял как это можно сделать c drWeb'овского LiveCD. Графический режим у меня не запускается, а через Midnight Commander оно ведь не работает. Или вы имели ввиду какой-то другой?
    Последний раз редактировалось xuwrlazv; 26.05.2009 в 01:07.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от xuwrlazv Посмотреть сообщение
    Графический режим у меня не запускается
    Странно, с чего бы это?

    Кстати, в базы DrWeb'a этот зловред уже добавлен, можно просто скачать и записать новый LiveCD.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    28
    Цитата Сообщение от Bratez Посмотреть сообщение
    Странно, с чего бы это?
    Вот уж не знаю. Но при попытке запустить его выдает пару каких-то ошибок и все равно грузится в Safe mode.

    Цитата Сообщение от Bratez Посмотреть сообщение
    Кстати, в базы DrWeb'a этот зловред уже добавлен, можно просто скачать и записать новый LiveCD.
    Попробую, что мне еще остается.

    Запустил AVPtool из под Инфры. Нашел кучу всего, но вылечить ничего не вылечил. Вот все, что нашел:
    Вложения Вложения
    • Тип файла: txt avp.txt (17.7 Кб, 8 просмотров)
    Последний раз редактировалось Rene-gad; 30.05.2009 в 00:09.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Все, что надо он таки нашел. А почему ж не вылечил? Что сказал?
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    28
    Вроде бы что не может бекап создать или что-то вроде того. Большинство можно было только пропустить.

    Эх... Ну так как - будут какие-нибудь советы?

    И еще разок хотелось бы поднять темку. Или ситуация настолько безнадежна?
    Последний раз редактировалось Rene-gad; 30.05.2009 в 00:07.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от xuwrlazv Посмотреть сообщение
    Или ситуация настолько безнадежна?
    Мы колдовать не умеем. Попробуйте Malwarebytes Antimalware прогнать, лог потом к сообщению прикрепите.

  • Уважаемый(ая) xuwrlazv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00085 seconds with 23 queries