Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Ругается NOD32 (заявка № 50292)

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60

    Question Ругается NOD32

    Здравствуйте!
    Столкнулся с проблемой NOD32 постоянно выдает окно об обнаружении вот этой "Win32/Patched.ER" дряни. При сканировании с последними базами находит кучу вирусов и троянов. С компом проблем особых нет, работает стабильно, не тормозит, но привыключении выдает сообщение о том, что "Превышен размер выделеного места для хранения профиля" отключаю процесс proquota.exe выключается сразу.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Пофиксить в HiJack
    Код:
     F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\explore.exe"
    F2 - REG:system.ini: UserInit=userinit.exe,c:\windows\system32\sdra64.exe,
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
     QuarantineFile('digeste.dll','');
     QuarantineFile('c:\windows\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
     QuarantineFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lbq85.sys','');
     DeleteService('Lbq85');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     TerminateProcessByName('c:\windows\services.exe');
     QuarantineFile('c:\windows\services.exe','');
     TerminateProcessByName('c:\windows\system32\explore.exe');
     QuarantineFile('c:\windows\system32\explore.exe','');
    QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LEBG9QB\explore[1].exe','');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LEBG9QB\explore[1].exe');
    QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
     DeleteFile('C:\WINDOWS\system32\mssfc.dll');
     DeleteFile('c:\windows\system32\explore.exe');
     DeleteFile('c:\windows\services.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lbq85.sys');
     DeleteFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('c:\windows\system32\sdra64.exe');
     DeleteFile('digeste.dll');
    QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll.bak','');
    DeleteFile('C:\WINDOWS\system32\sfcfiles.dll.bak');
    QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
    DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
    ExecuteRepair(16);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновить базы AVZ
    Сделайте новые логи + лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60
    090720_120302_virus_4a6424b631c77.zip это карантин
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Лог gmer после нажатия на Scan?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60
    да

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    В логах ничего подозрительного. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60
    Стал сканировать NOD32 и нашел такого зловреда C:\\Windows\System32\config\Systemprofile\Local Setting\Temporary internet Files\Content.ie5\8LEBG9QB\explore[2].exe

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Продолжайте проверку. Этого файла в логах не было
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60
    Цитата Сообщение от thyrex Посмотреть сообщение
    Продолжайте проверку.
    Что Вы имеете ввиду? NOD32 полность просканировал весь винт, чем проверять?

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    А, ну тогда все

    Можно еще и такую операцию проделать
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60
    хорошо попробую! Большое спасибо за помощь

  13. #12
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60
    И снова здавствуйте!
    Боюсь, что проблема не решена. Ситуация следующая. После загрузки обновлений комп перезагрузился и выдал ошибку lsass.exe "Не достаточно системных ресурсов для завершения API" решил скопировать с рабочей машины этот самый lsass.exe. заодно стал сканировать AVZ при этом мой бесплатный антивирус (Avira Antivir personal) начал ругаться на наличие вирусов в папке WINDOWS в подключеном харде так же сам AVZ нашел два файла: H:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0DQBSDYN\mss9[1].exe >>>>> Trojan-Downloader.Win32.Agent.cisb успешно удален
    H:\WINDOWS\Temp\rdl3463.tmp.exe >>>>> Trojan-Downloader.Win32.Agent.cisb успешно удален
    Система не хочет грузиться ни в каком из режимов. Не знаю что делать

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Лечили систему на диске C. Откуда взялась система на диске H ????
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60
    Так я и говорю, что присоединил хард с зараженого компа на другой и сканировал Avira и AVZ именно этот зараженный хард. в итоге на указанном ж/д и нашлись те вирусы которые я описал в предидущем посте

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от TU-134 Посмотреть сообщение
    "Не достаточно системных ресурсов для завершения API"
    Система не хочет грузиться ни в каком из режимов. Не знаю что делать
    Посмотрите тут: http://support.microsoft.com/kb/909095/ru

  17. #16
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Посмотрите тут: http://support.microsoft.com/kb/909095/ru
    не совсем мой вариант! я не могу загрузиться в виндовс

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Попробуйте это

    Загрузитесь с виндовского LiveCD или же подключите жесткий диск с больной системой к другому ком-пьютеру. Но ничего не запускайте на подключенном диске!
    Проверьте наличие файлика userinit.exe в папке windows\system32.

    Далее
    1. Запустите regedit и выделите раздел HKEY_USERS.
    2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
    3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
    4. Введите имя для раздела, который вы загрузили, например, MyHive.
    5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
    6. Не забудьте выгрузить куст
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60
    Цитата Сообщение от thyrex Посмотреть сообщение
    5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
    этим я и занимался. изменений в реестре на момент проверки не было. после этого комп загрузился в обычный режим я стал проверять CCcleaner им же нашел кучу непонятных параметров в реестре с какими-то файлами все ключи удалил, щас сканирую CureIT. еще в реестре есть строка(параметр: VmApplet значение:rundll32 shell32,Control_RunDLL "sysdm.cpl" ) по адресу HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon она нормальная? т.к. на этот файл sysdm.cpl в ходе лечения ругался какой-то антивирь. CureIT ничего не нашел

    и логи заодно!
    Последний раз редактировалось Rene-gad; 23.07.2009 в 16:23.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('\DOCUME~1\Kulemina\LOCALS~1\Temp\RarSFX0\llrks.exe');
     QuarantineFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\RarSFX0\llrks.exe','');
     DeleteFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\RarSFX0\llrks.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  21. #20
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    64
    Вес репутации
    60
    вот они!
    Вложения Вложения

  • Уважаемый(ая) TU-134, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. nod32 ругается на ip 91.207.4.146
      От Max710 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.03.2010, 15:06
    2. nod32 ругается на conficker AE
      От syt в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.11.2009, 16:47
    3. Nod32 ругается но не чистит
      От propp в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 09:58
    4. NOD32 ругается на Win32 Autoit.Gen
      От VADER в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.02.2009, 14:29
    5. Ругается NOD32, но вылечить не может
      От aligar в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.11.2008, 19:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01370 seconds with 20 queries