Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Ругается NOD32 (заявка № 50292)

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33

    Question Ругается NOD32

    Здравствуйте!
    Столкнулся с проблемой NOD32 постоянно выдает окно об обнаружении вот этой "Win32/Patched.ER" дряни. При сканировании с последними базами находит кучу вирусов и троянов. С компом проблем особых нет, работает стабильно, не тормозит, но привыключении выдает сообщение о том, что "Превышен размер выделеного места для хранения профиля" отключаю процесс proquota.exe выключается сразу.

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Пофиксить в HiJack
    Код:
     F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\explore.exe"
    F2 - REG:system.ini: UserInit=userinit.exe,c:\windows\system32\sdra64.exe,
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
     QuarantineFile('digeste.dll','');
     QuarantineFile('c:\windows\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
     QuarantineFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lbq85.sys','');
     DeleteService('Lbq85');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     TerminateProcessByName('c:\windows\services.exe');
     QuarantineFile('c:\windows\services.exe','');
     TerminateProcessByName('c:\windows\system32\explore.exe');
     QuarantineFile('c:\windows\system32\explore.exe','');
    QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LEBG9QB\explore[1].exe','');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LEBG9QB\explore[1].exe');
    QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
     DeleteFile('C:\WINDOWS\system32\mssfc.dll');
     DeleteFile('c:\windows\system32\explore.exe');
     DeleteFile('c:\windows\services.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lbq85.sys');
     DeleteFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('c:\windows\system32\sdra64.exe');
     DeleteFile('digeste.dll');
    QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll.bak','');
    DeleteFile('C:\WINDOWS\system32\sfcfiles.dll.bak');
    QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
    DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
    ExecuteRepair(16);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновить базы AVZ
    Сделайте новые логи + лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33
    090720_120302_virus_4a6424b631c77.zip это карантин
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Лог gmer после нажатия на Scan?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33
    да

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    В логах ничего подозрительного. Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33
    Стал сканировать NOD32 и нашел такого зловреда C:\\Windows\System32\config\Systemprofile\Local Setting\Temporary internet Files\Content.ie5\8LEBG9QB\explore[2].exe

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Продолжайте проверку. Этого файла в логах не было
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33
    Цитата Сообщение от thyrex Посмотреть сообщение
    Продолжайте проверку.
    Что Вы имеете ввиду? NOD32 полность просканировал весь винт, чем проверять?

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    А, ну тогда все

    Можно еще и такую операцию проделать
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33
    хорошо попробую! Большое спасибо за помощь

  13. #12
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33
    И снова здавствуйте!
    Боюсь, что проблема не решена. Ситуация следующая. После загрузки обновлений комп перезагрузился и выдал ошибку lsass.exe "Не достаточно системных ресурсов для завершения API" решил скопировать с рабочей машины этот самый lsass.exe. заодно стал сканировать AVZ при этом мой бесплатный антивирус (Avira Antivir personal) начал ругаться на наличие вирусов в папке WINDOWS в подключеном харде так же сам AVZ нашел два файла: H:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0DQBSDYN\mss9[1].exe >>>>> Trojan-Downloader.Win32.Agent.cisb успешно удален
    H:\WINDOWS\Temp\rdl3463.tmp.exe >>>>> Trojan-Downloader.Win32.Agent.cisb успешно удален
    Система не хочет грузиться ни в каком из режимов. Не знаю что делать

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Лечили систему на диске C. Откуда взялась система на диске H ????
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33
    Так я и говорю, что присоединил хард с зараженого компа на другой и сканировал Avira и AVZ именно этот зараженный хард. в итоге на указанном ж/д и нашлись те вирусы которые я описал в предидущем посте

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от TU-134 Посмотреть сообщение
    "Не достаточно системных ресурсов для завершения API"
    Система не хочет грузиться ни в каком из режимов. Не знаю что делать
    Посмотрите тут: http://support.microsoft.com/kb/909095/ru

  17. #16
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Посмотрите тут: http://support.microsoft.com/kb/909095/ru
    не совсем мой вариант! я не могу загрузиться в виндовс

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Попробуйте это

    Загрузитесь с виндовского LiveCD или же подключите жесткий диск с больной системой к другому ком-пьютеру. Но ничего не запускайте на подключенном диске!
    Проверьте наличие файлика userinit.exe в папке windows\system32.

    Далее
    1. Запустите regedit и выделите раздел HKEY_USERS.
    2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
    3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
    4. Введите имя для раздела, который вы загрузили, например, MyHive.
    5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
    6. Не забудьте выгрузить куст
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33
    Цитата Сообщение от thyrex Посмотреть сообщение
    5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
    этим я и занимался. изменений в реестре на момент проверки не было. после этого комп загрузился в обычный режим я стал проверять CCcleaner им же нашел кучу непонятных параметров в реестре с какими-то файлами все ключи удалил, щас сканирую CureIT. еще в реестре есть строка(параметр: VmApplet значение:rundll32 shell32,Control_RunDLL "sysdm.cpl" ) по адресу HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon она нормальная? т.к. на этот файл sysdm.cpl в ходе лечения ругался какой-то антивирь. CureIT ничего не нашел

    и логи заодно!
    Последний раз редактировалось Rene-gad; 23.07.2009 в 16:23.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('\DOCUME~1\Kulemina\LOCALS~1\Temp\RarSFX0\llrks.exe');
     QuarantineFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\RarSFX0\llrks.exe','');
     DeleteFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\RarSFX0\llrks.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  21. #20
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    33
    вот они!
    Вложения Вложения

  • Уважаемый(ая) TU-134, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. nod32 ругается на ip 91.207.4.146
      От Max710 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.03.2010, 15:06
    2. nod32 ругается на conficker AE
      От syt в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.11.2009, 16:47
    3. Nod32 ругается но не чистит
      От propp в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 09:58
    4. NOD32 ругается на Win32 Autoit.Gen
      От VADER в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.02.2009, 14:29
    5. Ругается NOD32, но вылечить не может
      От aligar в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.11.2008, 19:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01448 seconds with 21 queries