-
Junior Member
- Вес репутации
- 56
Не открываются приложения, помогите пожалуйста?
Симптомы: не открываются никакие приложения, пишет программа выполнила недопустимую ошибку и будет закрыта.AVZ не запускается - ни обычный ни полиморфный (даже в безопасном режиме), айсворд не запускается, смог запустить только gmer и хайджек. Cureit не запускается, расшарил диск с, просканировал его cureitом с другого компа, ничего не нашел. Прикладываю только лог gmer, он видит руткиты и лог хайджек, можно ли что то сделать?
Последний раз редактировалось SlyAss; 27.11.2009 в 15:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите с помощью Hijackthis строчки:
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [Microsoft Internet Agent] c:\windows\system32\winagent.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
С помощью утилиты Gmer отключите сервисы ckjeb и zmvzv (правая кнопка мыши на имя сервиса - выбрать пункт "disable the service"). После перезагрузки, попробуйте запустить AVZ, если запустится - сделайте логи по правилам.
-
-
Junior Member
- Вес репутации
- 56
-
В безопасном режиме пробовали проводить проверку? Логи Hijackthis и Gmer повторите, пожалуйста.
-
-
Junior Member
- Вес репутации
- 56
это как раз логи из безопасного режима, сделать из обычного? Айсворд кстати запустился в обычном режиме
-
Сделайте логи в обычном режиме, если получится.
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось SlyAss; 27.11.2009 в 15:27.
-
Пофиксите с помощью Hijackthis строчки:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|xЯ
O4 - Startup: ikowin32.exe
Вы писали, что Icesword запускается. Если так, то с помощью IceSword сначала скопируйте, потом удалите файлы:
Код:
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\xdwhjhps.dll
Копии файлов загрузите по ссылке для отправки карантина в архиве с паролем "virus" (без кавычек) После перезагрузки, попробуйте снова запустить AVZ
-
-
+ Numb
Скачайте последню версию GMER.
Код:
Код:
gmer.exe -del service ckjeb
gmer.exe -del service zmvzv
gmer.exe -del file "C:\WINDOWS\system32\xdwhjhps.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ckjeb"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zmvzv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ckjeb"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zmvzv"
gmer.exe -reboot
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.
После перезагрузки:
-Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
-Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- повторите логи по правилам + gmer.
-
-
Junior Member
- Вес репутации
- 56
Хайджеком пофиксил, айсвордом нашел только sdra64.exe, удалил, но в карантин заархивировать не могу, т.к. при запуске винрара вылетает ошибка. Код в gmere выполнил, после перезагрузки AVZ не запускается та же ошибка, с полиморфным тоже
-
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось SlyAss; 27.11.2009 в 15:27.
-
С помощью IceSword скопируйте
Код:
C:\WINDOWS\System32\Drivers\sfc.SYS
C:\WINDOWS\System32\sfcfiles.dll
Копии файлов загрузите по ссылке для отправки карантина в архиве с паролем "virus" (без кавычек)
C:\WINDOWS\System32\Drivers\sfc.SYS удалите с помощью IceSword
C:\WINDOWS\System32\sfcfiles.dll замените по этой методике
После этого пытайтесь сделать логи AVZ
Последний раз редактировалось Numb; 18.08.2009 в 20:11.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
C:\WINDOWS\System32\Drivers\sfc.SYS - такого файла в системе не нашел
C:\WINDOWS\System32\sfcfiles.dl - при попытке восстановить в консоли восстановления пишет - неудается создать файл 0 файлов распакованно
Отправил по ссылке вверху карантином скопированный из айсворда файл sfcfiles.dll
-
-Выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xdwhjhps.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\lowsec\local.ds','');
QuarantineFile('C:\WINDOWS\system32\lowsec\user.ds','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Код:
Код:
gmer.exe -del service hzzrpu
gmer.exe -del service jpujkmjxy
gmer.exe -del file "C:\WINDOWS\system32\lowsec\local.ds"
gmer.exe -del file "C:\WINDOWS\system32\lowsec\user.ds"
gmer.exe -del file "C:\WINDOWS\System32\Drivers\sfc.SYS"
gmer.exe -del file "C:\WINDOWS\system32\xdwhjhps.dll"
gmer.exe -del file "C:\WINDOWS\system32\sdra64.exe"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hzzrpu"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jpujkmjxy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jpujkmjxy"
gmer.exe -reboot
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 25555.bat и запустите.
После перезагрузки повторите логи по правилам + gmer.
Добавлено через 1 минуту
Сообщение от
SlyAss
C:\WINDOWS\System32\sfcfiles.dl - при попытке восстановить в консоли восстановления пишет - неудается создать файл 0 файлов распакованно
Файл на дистрибутиве с расширением dl_. Вы его так писали?
Последний раз редактировалось Rene-gad; 19.08.2009 в 11:26.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 56
Код:
Файл на дистрибутиве с расширением dl_. Вы его так писали?
да конечно, писал так.
Скрипт не могу сделать, т.к. не запускается AVZ ни простой ни полиморфный.
-
Делайте операцию с gmer и повторите его лог.
Добавлено через 1 минуту
Сообщение от
SlyAss
да конечно, писал так..
Попробуйте экспандировать его в другое место, а потом скопировать куда надо.
Последний раз редактировалось Rene-gad; 19.08.2009 в 12:57.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 56
сейчас не могу попробовать извлечь в другое место, т.к. физически комп находится на другом конце города , я через radmin хожу на него. прилагаю лог gmer
Последний раз редактировалось SlyAss; 27.11.2009 в 15:27.
-
Сообщение от
SlyAss
физически комп находится на другом конце города , я через radmin хожу на него.
Так не пойдет: нужно работать локально Распакуйте файл у себя на компе, только в какую-нибудь несистемную папку, а потом скопируйте его на удаленный ПК - может получится?
Лог gmer чистый.
Последний раз редактировалось Rene-gad; 19.08.2009 в 15:53.
-
-
Junior Member
- Вес репутации
- 56
нет удаленно он не удаляется и не меняется(( размер тот же, может не в нем дело? может проверить его?
Кстати сейчас гмер открыл в нем опять какая то зараза видна, сейчас лог пришлю как сделается(
вот он
Последний раз редактировалось SlyAss; 27.11.2009 в 15:27.