-
Junior Member
- Вес репутации
- 54
Требуется помощь
Добрый день.
Комп. - ХР SP2, NOD32 (четверка), Comodo.
Вчера возникла проблема - комп на все действия стал ругаться, что у вас не достаточно прав (пользователь был не с правами админа), в том числе и на попытку выключить комп через меню пуск, на запуск любой программы (почта, инет, и тд). Комодо и нод из трея пропали (хотя в процессах висели). Из под администратора ситуация такая же (не получилось запустить ни курента, ни авз), в безопасном режиме не грузится, после загрузки с диска Dr.Web LiveCD и сканировании компа (два диска физических), ничего найдено не было, при попытки загрузиться снова ситуация не поменялась. После отката системы на пару дней (возможность была зайти только через диспетчера процессов-помощь) не изменилось ничего.
Щас инфа с обоих дисков перекинута на один (подключали к другому компу), диск этот отключен (лежит на полочке), первый диск отформатирован, установлена винда, пока все (сеть отключена).
Очень нужны файлы со второго диска (да и диск сам тоже) но есть опасение, что враг на нем щас, вопрос что делать?
Комп в офисе был чем-то вроде сервера, на втором диске (который щас на полочке) была общая папка, для работы офиса. В офисе еще 4 компа и сетевой принтер.
Может и их чем нить проверить?
На флешке, которая была последней подключена к умершему компу, найдены два вируса (нодом тоже):
G:\RECYCLER\S-51-9-25-3434476501-1644491937-601003330-1214\Wrgsv.exe - Win32/AutoRun.KS червь - очищен удалением - изолирован [1]
G:\RECYCLER\S-51-9-25-3434476501-1644491937-601003330-1213\Mrgsv.exe - IRC/SdBot троянская программа - очищен удалением - изолирован [1]
Остальные компы пока нормально себя чувствуют (на двух стоит нод, на одно каспер), проверку пока не запускал.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Fox-RK
Очень нужны файлы со второго диска .
В смысле? Это пользовательские файлы? Просканьте их любым обновленным Антивирусом и можете ими далее пользоваться.
-
-
Junior Member
- Вес репутации
- 54
Это и пользовательские файлы, и базы 1С, и почта (тундерберд), и история аськи. Просканировать то можно, но вот чего то ж было, что порушило систему, а антивирусник (нод) обновлялся несколько раз в день, вот и вопрос чем другим проверить? не хочется еще разок такую болячку занести. При копировании копировали полностью весь системный диск (с) не разбирая. Щас включу его тоже, и поновой нодом (пока токо он есть).
-
Junior Member
- Вес репутации
- 54
Враг жив, подцепил второй диск, нодом с свежими базами просканил, ничего не нашел, но он есть, комодо периодически сообщает о попытке создать в систем32 файла - набор букв (2-4 символа), нод молчит.
-
Заплатки на систему все стоят?
-
-
Junior Member
- Вес репутации
- 54
логи
а еще комодо блокирует штуку такую:
C:\Windows\msddrv42.exe которая чего то хочет сделать каждые 2-4 секунды
Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msddrv42.exe
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\msddrv42.exe');
QuarantineFile('c:\windows\msddrv42.exe','');
DeleteFile('c:\windows\msddrv42.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Повторите п.2 раздела Диагностика.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Отключил восстановление
Выполнил скрипт
ех, а далее поторопился, удалил все логи и карантин
поэтому выполнил диагностику всю
логи прикрепил
Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.
-
Восстановление системы: включено
????
Отключите Антивирус и Файрвол.
Выполните скрипт в AVZ:
Код:
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите п.2 раздела Диагностика.
-
-
Junior Member
- Вес репутации
- 54
Восстановление системы: включено
под администратором захожу - восстановление системы отключено
под пользователем посмотреть не могу, проводник от имени администартора не запускается, а так вкладка восстановления отсутствует.
Отключите Антивирус и Файрвол.
комодо выключаю полностью (exit), в анивирусе пункт отключить защиту от вирусов и шпионских программ (выгрузить полностью нет кнопки выхода) - достаточно, или убрать из автозагрузки, и посмотреть в процессах и там убить?
комодо при загрузке системы ругается на файлы в директории C:\Documents and Settings\Director\Local Settings\Temp\
файлы цыфры.exe, удалял данные файлы вручную, появляются снова при перезагрузке
скрипт сделал
логи
Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.
-
-
-
Junior Member
- Вес репутации
- 54
Провел лечение
Лечение с помощью Live CD Vba32 Rescue
файл отчета приложен
комодо при загрузке системы ругается на файлы в директории C:\Documents and Settings\Director\Local Settings\Temp\
файлы цыфры.exe
пока так и осталось
Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.
-
Папку C:\Documents and Settings\Director\Local Settings\Temp
очистите полностью.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
всем спасибо, вроде выздоровел комп, никто не ругается, ничего не тормозит. одна маленькая штука чуть чуть мешает, при загрузке открывается окошко мои документы.
-
Кажется, мы с вами кое-что упустили...
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=50542).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
ех, теперь чавото выскочило окошко
svhost.exe - ошибка приложения
инструкция по адресу "0x6f8917c2" обратилась по адресу "0x6f8917c2". память не может быть "read".
это почему? помогите и эту штуку убрать пожалуйста, если чего нить нажать, то отрубает доступ к общей папке, которая на этом компе находится
Последний раз редактировалось Fox-RK; 28.07.2009 в 06:26.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 54
карантин пустой, точнее в нем есть папка сегодняшняя, но она пустая
логи
Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.
-
I am not young enough to know everything...
-