Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

Неубиваемый autorun.exe (заявка № 53041)

  1. #1
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    17
    Вес репутации
    54

    Thumbs up Неубиваемый autorun.exe

    Здравствуйте!
    У меня проблема с Windows XP Home Ed. SP2.
    В системе установлена Avira, стоял Spybot S&D.
    Позавчера мне в квипе прислали файл, в процессе его получения этот Spybot ругнулся на svchost, назвал какой-то вирус и доложил, что деактивировал процесс.
    Не придав этому значения, доработала до конца дня, благополучно выключила комп.
    На следующий день не смогла его включить. Не загружался Explorer.exe. Дальше была куча разных действий и загрузиться все-таки удалось. С помощью AVZ провела восстановление защищенных системных файлов Windows.

    А чуть позже увидела на флешке autorun.exe и autorun.inf. Пыталась их удалить с помощью anti_autorun.exe - они опять появляются...

    Система ведет себя странно и неустойчива очень.
    В безопасном режиме вчера загрузиться не удалось.

    Cure It! после запуска вылетает с ошибкой. AVZ не запускается с сообщением об Access violation.

    Не могу с ним справится, помогите, пожалуйста!

    Лог HijackThis прикладываю


    Могу прислать логи RSIT и IceSword
    Вложения Вложения
    Последний раз редактировалось Liage; 27.08.2009 в 09:00. Причина: Добавила про логи других программ

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    А если попробовать запустить такой AVZ и им сделать логи?
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    17
    Вес репутации
    54
    AVZ не запускается ни под каким видом все с той же ошибкой

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Даже тот, ссылку на который я дал?
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    17
    Вес репутации
    54
    Даже тот. Честно скачала и попыталась запустить. Процесс висит, один за другим появляются алерты с сообщением об ошибке с кнопкой "ок". И их не удается закрыть до тех пор, пока не убьешь запущенный процесс.
    Последний раз редактировалось Liage; 27.08.2009 в 09:48. Причина: грамматика

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Тогда лог Гмер-а сделайте пожалуйста
    The worst foe lies within the self...

  8. #7
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    17
    Вес репутации
    54

    Лог Gmer

    Вот, лог Gmer
    Вложения Вложения
    • Тип файла: log gmer.log (6.9 Кб, 12 просмотров)

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    C:\WINDOWS\system32\CMMON32.EXE - вот этот процесс через Ctrl+Alt+del попробуйте убить. М.б. тогда что-нибудь запуститься.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    17
    Вес репутации
    54
    Убила. Все равно ни AVZ, ни CureIt! не запускаются

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Значит, остается лечиться с LiveCd.

    Надо записать загружающийся диск и пролечить машину. После уже делать проверки в Windows, загрузившись с жесткого диска.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    + PavelA
    - Сделайте лог MBAM.

  13. #12
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    17
    Вес репутации
    54
    Я вчера полдня, загрузившись с LiveCD от DrWeb, проверяла винт - вообще ничего не обнаружил. Только там базы старые, а обновить их из-под той оболочки у меня не получается.

    Добавлено через 6 минут

    Rene-gad, в MBAM проверять только системный раздел?
    Последний раз редактировалось Liage; 27.08.2009 в 13:40. Причина: Добавлено

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Liage Посмотреть сообщение
    Rene-gad, в MBAM проверять только системный раздел?
    Да.

  15. #14
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    17
    Вес репутации
    54

    Лог MBAM

    Вот, проверила
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Эти пункты:
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\debugger
    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath
    
    C:\Program Files\Microsoft Common\svchost.exe
    C:\WINDOWS\system32\logon.exe
    C:\WINDOWS\system32\msvcrt57.dll
    C:\WINDOWS\Temp\rdl2D.tmp.exe
    пролечите в МБАМ.

    Потом сделайте новые лог МБАМ и попробуйте сделать логи по правилам.

  17. #16
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    17
    Вес репутации
    54

    Повторный лог MBAM

    Сделала пока быструю проверку, вот лог
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Liage Посмотреть сообщение
    Сделала пока быструю проверку
    Не надо быструю - надо полную.

  19. #18
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    17
    Вес репутации
    54
    AVZ запустился! Может тогда им?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Liage Посмотреть сообщение
    AVZ запустился! Может тогда им?
    и им тоже.

  21. #20
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    17
    Вес репутации
    54

    Логи

    Результаты полной проверки MBAM, выполнения скриптов AVZ и проверки HijackThis во вложении.

    Комп по-прежнему не удается загрузить в безопасном режиме и иконка VPN-соединения становится полупрозрачной, как будто оно делается скрытым.
    Вложения Вложения
    Последний раз редактировалось Liage; 28.08.2009 в 08:46.

  • Уважаемый(ая) Liage, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 02.09.2011, 22:42
    2. Ответов: 6
      Последнее сообщение: 10.07.2009, 14:08
    3. Ответов: 4
      Последнее сообщение: 19.03.2008, 09:42
    4. Ответов: 5
      Последнее сообщение: 03.02.2008, 17:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00003 seconds with 18 queries