-
Junior Member
- Вес репутации
- 58
Нестандартная проблема - нужно нестандартное решение.
Принесли мне ноут от вирусов полечить.
Симптомы:
Установлено Win XP Prof SP3, IE7.0
1) Загрузка винды идёт довольно долго.
2) Сразу после запуска любой из программ-антивирусов (будь то avz или cureit или нод32) программа автоматически закрывается секунды через 3.
3) Удалось запустить HijackThis и IceSword
4) В Safe Mode'е не грузится вообще - выходит синий "экран смерти".
5) С загрузочного CD также не грузится - также идёт синий экран.
6) Администраторские права закрыты.
7) Пока замечены следующие вирусы: SCVVHSOT.EXE, blastclnnn.exe Проявляются, когда вставляю флэшку - ломятся на флэшку но защита от записи их отбивает.
По правилам могу прислать только логи HijackThis, т.к. утилита avz не запускается. Но лучше конечно этого не делать, т.к. заражу флэшку... или посоветуйте, как лучше поступить...
ЗЫ Для связи с ноутом использую флэшку с функцией защиты от записи.
ЗЫЫ Можно ли вообще такой комп вылечить или уже просто убить загрузочный раздел и переустановка винды? Хочу попытаться всё-таки вылечить
Последний раз редактировалось CyberDyne; 08.10.2009 в 15:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 58
avz запустить получилось
все сделал по правилам, но логи надо как-то передать - решил открыть флэшку, записать файлы, а потом снова заблочить флэшку и на этом же компе удалить файлы, которые вирь пытается записать. И таки записал файл cxsei.exe, но удалить его никак не могу! Ни вручную, ни IceSword'ом с Force Delete'ом, ни Delete Doctor'ом! Рабочий комп таки не хочется заражать - есть ещё способ как-то этот файл удалить?
Добавлено через 29 минут
Тьфу блин - туплю малость. Флэшка же на защите, следовательно ничего оттуда не удалишь... щас всё сделаю пришлю логи
Последний раз редактировалось CyberDyne; 08.10.2009 в 15:56.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 58
Вот файлы согласно правилам
-
Нахватали много всякой дряни на фоне заражения чем-то из серии Sality (Sector). Это - файловый вирус, он находится не в отдельных файлах (которые можно удалить и, таким образом, вылечиться), а заражает существующие.
Для начала надо пролечиться, как описано здесь.
Потом выполнить такой скрипт в AVZ:
Код:
begin
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(17);
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.
и после перезагрузки сделать новые логи. Дальше будем чистить то, что осталось.
Добавлено через 6 минут
Смотрите осторожно с флешкой - не заразите ещё что-то.
Последний раз редактировалось gjf; 08.10.2009 в 16:13.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Боюсь возникнет проблема с загрузкой в Сэйф Моде или с любого загрузочного CD, т.к. это я уже пробовал. Но всё-равно сейчас попробую ещё раз, в т.ч. то что в правилах по удалению файловых вирусов.
-
Грузится с загрузочных дисков должен - это уже не происки вируса. Если не выходит - либо разбираться с настройками в BIOS, либо нести в сервис, потому что проблема - с железом.
Попробуйте стянуть загрузочный диск с одной из следующих ссылок, эти диски - точно рабочие: LiveCD от DrWeb или Rescue Disc от Kaspersky Lab
-
-
Junior Member
- Вес репутации
- 58
Насчёт флэшки не ошиблись - заразил экзешник IceSword'a. Для уверенности удалил всё с флэшки и закачал на неё заново. (Не знаю нужно ли ещё что-то сделать?)
Сейчас проверяю одним из методов описанной в правилах - программой vba32. Т.к. флэшка защищена сейчас от записи я не стал заморачиваться с записью проги на CD. Запустил прямо с флэшки - очень много файлов инфицировано по тому, что уже проверено. Идентифицирует как Virus.Win32.Sality.baka
-
Лечитесь. Пролечите все флешки, абсолютно все файлы.
Потом - всё, как предписывалось выше.
-
-
Junior Member
- Вес репутации
- 58
Всё сделал.
Что изменилось и что нет:
- больше ничего не ломится на флэшку, и (забыл упомянуть об этом в самом начале) не ломится в инет через установленное соединение.
- Антивирусные программы пока не запускаются.
- Админские права и диспетчер задач больше не вырубает после перезагрузки.
Есть так же лог программы vba32 - файл vba32.rpt, но его прикрепить не получается - не знаю нужен он будет или нет.
-
- Скачайте обычную версию AVZ. Все дальнейшие действия проводить с помощью обычной версии.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('esihdrv');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
QuarantineFile('C:\Program Files\Windows Sidebar\.\regsvr32.exe','');
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esihdrv.sys','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esihdrv.sys');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F387232');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
DeleteFile('At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('esihdrv');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Последний раз редактировалось gjf; 09.10.2009 в 13:51.
Причина: уточнил
-
-
Junior Member
- Вес репутации
- 58
ExecuteStdScr(5); {обновление баз AVZ с автоматической настройкой}
Мне наверное вот это придётся выполнить на чистом компе, т.к. ноут подключения к интернету не имеет. Не хочется мне его в нашу сетку втыкать. Я впринципе базы обновил, прежде чем записать avz на ноут. Может пропустить эту строчку?
-
Подправил скрипт в соответствии с информацией, полученной от Вас.
-
-
Junior Member
- Вес репутации
- 58
Сделано
Логи прикреплены
Вот карантин
091009_144423_virus_4acf14071c509.zip
-
Не видно ничего подозрительного. Проблема решена?
-
-
Junior Member
- Вес репутации
- 58
Вообщем-то да
Только антивирусные программы по-прежнему не запускаются. Может ещё что-то осталось?
В процессах я вижу, что процесс антивиря запускается, но тут же исчезает через полсекунды.
В частности не запускается НОД32 и cureit.
AVZ запускается нормально.
Последний раз редактировалось CyberDyne; 12.10.2009 в 08:58.
-
Переустановить NOD пробовали?
-
-
Junior Member
- Вес репутации
- 58
вот сейчас пробую...
Добавлено через 14 минут
Нет всё-таки что-то осталось. Щас удалил НОД, пошла перезагрузка, загрузил - диспетчер задач опять закрыт.
avz снова обнаружил блокировку диспетчера задач и редактора реестра
Последний раз редактировалось CyberDyne; 12.10.2009 в 09:38.
Причина: Добавлено
-
Отключите автозапуск с флешек.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить.
Лечитесь заново с помощью LiveCD, флешки вставить все не забудьте...
-
-
Junior Member
- Вес репутации
- 58
Что-то не получается с LiveCD загрузиться - я из образа распоковал и записал все папки, что там были на болванку, но с CD всё-равно не грузится.