Показано с 1 по 11 из 11.

Помогите оживить железяку после виря (заявка № 50807)

  1. #1
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    8
    Вес репутации
    54

    Exclamation Помогите оживить железяку после виря

    Предистория такая, на ноуте с установленным касперскийм и свежими базами, был запущен файлик (с Trojan-Dropper.Win32.Agent.xrq как потом выяснилось на другом компе), в результате чего каспер выгрузился, все дико заторормозило и ноут ушел в ребут. После ребута в нормальном режиме грузится до приветствия и при попытке залогиниться ругается на logonui, а если и дает залогинитьлся то все процессы начинают отваливаться с ошибками, в итоге bsod либо пустой экран с курсором...
    В безопасном режиме грузится нормально, но половина приложений не запускается, ругаясь на отсутствие dll'ок, причем совсем им не нужных, regedit сейчас ругается например на aclui.dll... до этого ругался на что-то другое...
    Свежий CureIT нашел пару троем в безопасном режиме, но ситуация не изменилась...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\hdvnm.exe -пришлите согласно приложения 2 правил
    такой лог сделайте ... http://www.gmer.net/
    Последний раз редактировалось V_Bond; 27.07.2009 в 23:02.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от V_Bond Посмотреть сообщение
    такой лог сделайте ...
    Такой?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    да .... ссылка не скопировалась ...

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    + к предыдущим советам

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\temp\64148313.tmp','');
     DeleteFile('C:\Windows\temp\64148313.tmp');
    DeleteFile('C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Ваш провайдер?
    org-name: UkrTeleGroup Ltd.
    address: UkrTeleGroup Ltd.
    Mechnikova 58/5
    65029 Odessa
    Ukraine
    Если нет, то пофиксить в HiJack
    Код:
     O17 - HKLM\System\CCS\Services\Tcpip\..\{89736CB1-C3E1-44B4-A60A-3F6DE578C45A}: Name-Server = 85.255.112.226,85.255.112.96
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.226,85.255.112.96
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.226,85.255.112.96
    и ввести свои настройки (если не знаете, сначала узнать, а только потом фиксить)

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    8
    Вес репутации
    54
    V_Bond, Прошу прощения, совсем забыл сказать, C:\hdvnm.exe - это HijackThis, если не переименовать, то не запускается.... При запуске ничего не происходит....

    V_Bond, Лог Gmer привожу на всякий случай на момент создания темы и после выполнения всех предложенных советов.

    thyrex, Нет это не мой провайдер, днс профиксил...


    На данный момент в обычном режиме ноут не грузится, даже до приветствия не доходит, но активно шуршит винтом....


    Файл сохранён как 090728_211906_virus_4a6f330a13d03.zip
    Размер файла 116926
    MD5 ca4d17423a046f41dff56061cb82f705
    Вложения Вложения
    Последний раз редактировалось infina; 28.07.2009 в 21:19.

  8. #7
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    8
    Вес репутации
    54
    На данный момент в обычном режиме совсем грузиться не хочет, перестал после попытки запуска скрипта "лечения/карантина и сбора инфы" когда всетаки загрузился в нормальном режиме..... скрипт начал работать, и вывалился bsod.... Теперь при загрузке либо bsod либо курсор на черном фоне и перезагрузка....

    Касательно BSOD:
    Код:
    Сигнатура проблемы:
      Имя события проблемы:	BlueScreen
      Версия ОС:	6.0.6002.2.2.0.768.3
      Код языка:	1049
    
    Дополнительные сведения об этой проблеме:
      BCCode:	f4
      BCP1:	00000003
      BCP2:	90A75020
      BCP3:	90A7516C
      BCP4:	82065650
      OS Version:	6_0_6002
      Service Pack:	2_0
      Product:	768_1
    
    Файлы, содержащие сведения об этой проблеме:
      C:\Windows\Minidump\Mini072909-01.dmp
      C:\Users\user\AppData\Local\Temp\WER-79794-0.sysdata.xml
      C:\Users\user\AppData\Local\Temp\WER9617.tmp.version.txt
    Анализ дампа:
    Код:
    Microsoft Windows XP [Версия 5.1.2600]
    (С) Корпорация Майкрософт, 1985-2001.
    
    C:\Documents and Settings\Inf>"C:\Program Files\Debugging Tools for Windows\
    kdfe.cmd" D:\Mini072909-01.dmp
    
    
    Analyzing "D:\Mini072909-01.dmp", please wait... Done.
    
    
    Crash date:         Wed Jul 29 10:15:29.996 2009 (GMT+4)
    Stop error code:    0xF4
    Process name:       wininit.exe
    Probably caused by: wininit.exe

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    wininit.exe - Пришлите по правилам Приложение 2,3 . По возможности замените файл из дистрибутива.

  10. #9
    Junior Member Репутация
    Регистрация
    27.07.2009
    Сообщений
    8
    Вес репутации
    54
    Нашел на ноуте 3 таких файла:
    c:\Windows\System32\wininit.exe
    c:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6000.16386_none_2ebbf 6d3076595ce\wininit.exe
    c:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b 8cf0450a6a2\wininit.exe

    При попытке упаковать карантин по правилам, карантин AVZ остается пустым, лог AVZ приложил....
    Упаковал сам, в зип с паролем по правилам:
    Код:
    Файл сохранён как	090729_115243_virus_4a6fffcb7e7b7.zip
    Размер файла	145458
    MD5	1615d89330bb386aada55cd5c7a49521
    На стационарном компе проверил касперов, вроде чисто...
    Последний раз редактировалось Rene-gad; 29.07.2009 в 19:32. Причина: *Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Файлы чистые
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    По возможности замените файл из дистрибутива.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\temp\64148313.tmp - Trojan.Win32.FraudPack.pre ( DrWEB: Trojan.Fakealert.4668, BitDefender: Gen:Trojan.Heur.FakeAV.iuX@dyYc!Wo )


  • Уважаемый(ая) infina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. после sms виря
      От proshka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.07.2009, 17:32
    2. HElp me! помогите убить виря
      От Timocha в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 01:56
    3. После действий виря траблы
      От Евгений81 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.09.2008, 15:39
    4. Ответов: 3
      Последнее сообщение: 05.02.2007, 11:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01463 seconds with 20 queries