Показано с 1 по 15 из 15.

не удаляется DrWeb (заявка № 50471)

  1. #1
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57

    Thumbs up не удаляется DrWeb

    Доброго времени суток, уважаемые!
    В общем ситуация следующая! Принес товарисч мне свой ноутбук, умирающий под натиском вирусов. Я пошел по стандартному пути - загрузился с ЛайвСД, проверил комп утилитой CuteIT, все что было заражено - удалил. Загрузился в Сэйф мод, почистил автозагрузку от пустых ссылок утилитой Autorun.
    Вроде система чистая. Подключился к интернету - БСОД. Перезагружаюсь, в сэйф мод проверяю машину - AVPTool. Найдено еще 8-10 зараженных айлов. Удаляю.
    Устанавливаю Антивирус DrWeb. После перезагрузки - БСОД. После еще одной перезагрузки - Модули DrWEb не стартуют. Удалить тоже нет возможности, при удалении выскакивает окно с капчей, после ввода которой ошбка - невозможно отключить модуль самозащиты. Написал в техподдержку DrWeb, но 5 день они мне не могут толком ответить. После казжого ответа - ожидание 3 дня....
    Наш диалог остановился на том, что я им отправил логи (по их запросу) hijackthis, Rootkit Unhooker и GMER.
    Собственно, почему и пишу сюда, чтобы удостовериться в чистоте системы. и дальнейшем руным удалением антивируса.
    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    SetAVZPMStatus(True);
     ExecuteRepair(1);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_QrSvc('czabzkqin');
     QuarantineFile('\\?\globalroot\systemroot\system32\geyekrcbnmpxvh.dll','');
     DeleteFile('\\?\globalroot\systemroot\system32\geyekrcbnmpxvh.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    Готово. Вот лог:
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\mshnzwk.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvow.exe','');
     QuarantineFile('\systemroot\system32\drivers\geyekrvdifwfoe.sys','');
     DeleteFile('\\?\globalroot\systemroot\system32\geyekrcbnmpxvh.dll');
     BC_DeleteFile('\systemroot\system32\drivers\geyekrvdifwfoe.sys');
     DeleteFile('C:\WINDOWS\system32\msvow.exe');
     DeleteFile('C:\WINDOWS\system32\mshnzwk.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

  6. #5
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57

    готово

    готово! После скрипта ожил DrWeb и корректно стала отключаться самозащита.
    Пожалуйста, лог:
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Руткит новый, ни Касперский, ни DrWeb не знают.
    Зловредов больше нет, остался только мусор в реестре.
    Пишите отбой в техподдержку DrWeb и совет: пусть переправляют в таких случаях людей к нам.

  8. #7
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    Ок! Пасибо огромнейшее!!!

    Добавлено через 30 минут

    Кстати, рядом с geyekrcbnmpxvh.dll, который скриптом, как я понял был удален, лежит еще не тронут geyekrwelathqf.dll, geyekrasnvkpu.dat и geyekrhhabotnk.dat.
    Данные файлы не принесут верда?
    Последний раз редактировалось mc-sim; 22.07.2009 в 23:40. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Думаю, нет.
    Но все же, пришлите эти файлы так, как написано в приложении 2 Правил.

  10. #9
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    geyekrwelathqf.dll уже определяется DrWeb'ом как бэкор. Выслать уже не могу, ибо удален DrWeb'ом.

  11. #10
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    О! Нашелся на флешке запароленый архив. Пароль 123.
    Прошу прощения, что не по правилам шлю...
    Последний раз редактировалось drongo; 23.07.2009 в 00:11.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    размещение вирусов в теме запрещено,шлите как положено.
    карточка жёлтая в подарок, на очереди красная

  13. #12
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    Больше не повториться....
    Каким образом мне выслать согласно правил эти файлы, если они уже не в зараженной системе?
    Я могу выслать их обычным архивом по ссылке Прислать запрошенный карантин?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.распаковать архив в новую папку не запуская ничего из файлов антивирус отключить временно(или добавить в доверенные
    ), чтобы не мешал копировать.
    2.с помощью авз скопировать файлы из этой папки (приложение 2 правил) Включить антивирус.
    3.Прислать полученный архив по красной ссылке вверху темы
    4.саму папку можно удалить.

  15. #14
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    Готово. Мой Нод32 пока молчит на эти файлы...

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\geyekrvdifwfoe.sys - Rootkit.Win32.TDSS.s ( DrWEB: BackDoor.Geyekr.2, BitDefender: Trojan.Generic.2159919 )
      2. \\?\globalroot\systemroot\system32\geyekrcbnmpxvh. dll - Trojan.Win32.Tdss.akzw ( DrWEB: BackDoor.Tdss.310, BitDefender: Trojan.CryptRedol.Gen.2 )
      3. h:\system32\geyekrcbnmpxvh.dll - Trojan.Win32.Tdss.akzw ( DrWEB: BackDoor.Tdss.310, BitDefender: Trojan.CryptRedol.Gen.2 )
      4. h:\system32\geyekrwelathqf.dll - Trojan.Win32.Tdss.akmf ( DrWEB: BackDoor.Tdss.310, BitDefender: Trojan.CryptRedol.Gen.3 )


  • Уважаемый(ая) mc-sim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 06.04.2012, 03:31
    2. Ответов: 6
      Последнее сообщение: 19.08.2011, 15:34
    3. Ответов: 1
      Последнее сообщение: 26.08.2010, 03:00
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 08:12

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00955 seconds with 18 queries