-
Junior Member
- Вес репутации
- 59
опять вирус отрезал доступ к virusinfo
Добрый день!
К сожалению, второй раз появился вредонос, который не могу устранить. Признаки: отсутствие выхода на сайт virusinfo.info и других антивирусных сайтов, невозможность войти в систему XP в безопасном режиме, долгая загрузка ОС. На другие сайты выход есть.
Выполнил все пункты согласно Правил, VPTool устранил 2 трояна, AVZ ещё один. Но проблема осталась.
Направляю с другого ПК логи и надеюсь на помощь
С уважением,
Алексей
Последний раз редактировалось Alex T; 12.01.2010 в 23:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187563');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Maq.exe','');
QuarantineFile('C:\WINDOWS\system32\NeroCheck.exe','');
QuarantineFile('C:\WINDOWS\ALCMTR.EXE','');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('C:\WINDOWS\StopHid.exe','');
DeleteFile('C:\WINDOWS\system32\ckldrv.sys');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Maq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('NetworkX');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=48331
3. Выполните http://virusinfo.info/showthread.php?t=43700
4. Повторите логи.
Добавлено через 1 минуту
Сделайте такой лог http://virusinfo.info/showthread.php?t=40118
Последний раз редактировалось Aleksandra; 20.06.2009 в 11:03.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Сообщение от
Alex T
второй раз появился вредонос
А он никуда не уходил: Прочитайте сообщение # 6 в этой теме : http://virusinfo.info/showthread.php?t=45422 и можете увидеть его в зеркале...
-
-
C:\Documents and Settings\alex\Рабочий стол\E8C5EADD18A1FF70\E8C5EADD18A1FF70 - будем удалять с помощью Gmer.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 59
Выполнил скрипт, заменил букву в Systemroot - все пока безуспешно. Более того, при загрузке стало появляться сообщение о проблемах с установкой нового оборудования, хотя вроде все устройства работают.
Новые логи направляю.
А по поводу сообщений Aleksandra и Rene-gad просьба пояснить, что делать.
С уважением,
Алексей
Последний раз редактировалось Alex T; 12.01.2010 в 23:46.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pipsyegw.dll','');
DeleteFile('C:\WINDOWS\system32\pipsyegw.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=48331
3. Пофиксите в HijackThis:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
4. Сделайте лог Gmer.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 59
Добрый день!
Подскажите, как сделать лог Gmer. (п.4).
Извиняюсь сразу за задержку - остальные операции выполню только вечером (поврежденный ПК дома, а общаюсь в данном форме с работы)
С уважением,
-
-
-
Junior Member
- Вес репутации
- 59
Добрый день!
Выполнил последний скрипт, после чего хоть через раз, но стал открываться сайт virusinfo.info. Профиксил. Карантин не удалось отправить, т.к. в карантине не оказалось ни одной записи. Лог Gmer сделал, прикладываю. На всякий случай также повторил стандартные логи, также отправляю.
Остались следующие признаки вируса:
-При повторном запуске любого браузера (т.е. когда один раз он уже запущен и открыто сколько-то страниц, после чего запускается ещё раз) выход на антивирусные сайты опять прекращается. Выход появляется после выполнения заново последнего Вашего скрипта.
-После загрузки ОС выскакивает информация, что обнаружено новое оборудование, потом - что имеются проблемы с запуском нового оборудования, после закрытия окна сообщения через время предупреждение исчезает.
С надеждой на помощь,
Алексей
Последний раз редактировалось Alex T; 12.01.2010 в 23:45.
-
Junior Member
- Вес репутации
- 59
Добавлю то, что дополнительно обнаружил только сейчас.
Выход на сам сайт virusinfo.info работает, однако ни одна ссылка на закачку программ AVZ, AVPTool и пр. не работают
С уважением,
Алексей
-
Сохраните содержимое как start.bat в каталоге с gmer запустите и после перезагрузки повторите лог gmer.
Код:
gmer.exe -del service E8C5EADD18A1FF70
gmer.exe -del service kkbdl
gmer.exe -del service mmilndo
gmer.exe -del service naugg
gmer.exe -del file "C:\WINDOWS\system32\pipsyegw.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\E8C5EADD18A1FF70"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kkbdl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mmilndo"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\naugg"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\E8C5EADD18A1FF70"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kkbdl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mmilndo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\naugg"
gmer.exe -reboot
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 59
Если не трудно, объясните подробней, что и как сделать - т.е. для "чайников"
С уважением,
Алексей
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 59
Вроде бы все понял, но почему-то в Блокноте файл *start.bat* не сохраняется. И ещё уточнение - нужно сохранаять в директории, где находится папка Gmer или внутри самой папки? (хотя я пытался и там и там - все-равно не сохраняется).
Заранее благодарен,
Алексей
-
Сохранять там, где лежит gmer.exe, т.е. внутри папки Gmer.
Для того, чтобы блокнотом создать bat-файл, предварительно в Проводнике (Сервис - Свойства папки - Вид) отключите опцию "Скрывать расширения для зарегистрированных типов", иначе у вас получается файл start.bat.txt, а не start.bat.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Выполнил, наконец-то, скрипт "sart.bat". При выполнении 3 раза выскакивали сообщения: 2 раза "...не найден файл", 1 раз "...неверный код".
Лог направляю.
К сожалению, положительных результатов по-прежнему нет.
Убедительная просьба не оставить без помощи!
С уважением,
Алексей
Добавлено через 2 минуты
Очередная проблема - лог Gmer обычным способом не грузится
Последний раз редактировалось Alex T; 23.06.2009 в 20:18.
Причина: Добавлено
-
Сообщение от
Alex T
Очередная проблема - лог Gmer обычным способом не грузится
А в безопасном режиме? Если получится, сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
Alex T
Очередная проблема - лог Gmer обычным способом не грузится
Т. е. не можете прицепить его к сообщению в теме?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 59
Aleksandre - именно так.
Thyrex - в безопасном режиме в XP не могу выходить в Интернет.
-
Залейте лог на файлообменник и дайте ссылку.
Сердце решает кого любить... Судьба решает с кем быть...
-