Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Нестандартная проблема - нужно нестандартное решение. (заявка № 56677)

  1. #1
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58

    Thumbs up Нестандартная проблема - нужно нестандартное решение.

    Принесли мне ноут от вирусов полечить.

    Симптомы:
    Установлено Win XP Prof SP3, IE7.0
    1) Загрузка винды идёт довольно долго.
    2) Сразу после запуска любой из программ-антивирусов (будь то avz или cureit или нод32) программа автоматически закрывается секунды через 3.
    3) Удалось запустить HijackThis и IceSword
    4) В Safe Mode'е не грузится вообще - выходит синий "экран смерти".
    5) С загрузочного CD также не грузится - также идёт синий экран.
    6) Администраторские права закрыты.
    7) Пока замечены следующие вирусы: SCVVHSOT.EXE, blastclnnn.exe Проявляются, когда вставляю флэшку - ломятся на флэшку но защита от записи их отбивает.

    По правилам могу прислать только логи HijackThis, т.к. утилита avz не запускается. Но лучше конечно этого не делать, т.к. заражу флэшку... или посоветуйте, как лучше поступить...

    ЗЫ Для связи с ноутом использую флэшку с функцией защиты от записи.

    ЗЫЫ Можно ли вообще такой комп вылечить или уже просто убить загрузочный раздел и переустановка винды? Хочу попытаться всё-таки вылечить
    Последний раз редактировалось CyberDyne; 08.10.2009 в 15:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пробуйте этот AVZ http://depositfiles.com/files/j3apocwxd

  4. #3
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58
    avz запустить получилось
    все сделал по правилам, но логи надо как-то передать - решил открыть флэшку, записать файлы, а потом снова заблочить флэшку и на этом же компе удалить файлы, которые вирь пытается записать. И таки записал файл cxsei.exe, но удалить его никак не могу! Ни вручную, ни IceSword'ом с Force Delete'ом, ни Delete Doctor'ом! Рабочий комп таки не хочется заражать - есть ещё способ как-то этот файл удалить?

    Добавлено через 29 минут

    Тьфу блин - туплю малость. Флэшка же на защите, следовательно ничего оттуда не удалишь... щас всё сделаю пришлю логи
    Последний раз редактировалось CyberDyne; 08.10.2009 в 15:56. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58
    Вот файлы согласно правилам

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Нахватали много всякой дряни на фоне заражения чем-то из серии Sality (Sector). Это - файловый вирус, он находится не в отдельных файлах (которые можно удалить и, таким образом, вылечиться), а заражает существующие.
    Для начала надо пролечиться, как описано здесь.

    Потом выполнить такой скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(10);
    ExecuteRepair(11);
    ExecuteRepair(13);
    ExecuteRepair(17);
    BC_DeleteSvc('abp470n5');
    BC_Activate;
    RebootWindows(true);
    end.
    и после перезагрузки сделать новые логи. Дальше будем чистить то, что осталось.

    Добавлено через 6 минут

    Смотрите осторожно с флешкой - не заразите ещё что-то.
    Последний раз редактировалось gjf; 08.10.2009 в 16:13. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58
    Боюсь возникнет проблема с загрузкой в Сэйф Моде или с любого загрузочного CD, т.к. это я уже пробовал. Но всё-равно сейчас попробую ещё раз, в т.ч. то что в правилах по удалению файловых вирусов.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Грузится с загрузочных дисков должен - это уже не происки вируса. Если не выходит - либо разбираться с настройками в BIOS, либо нести в сервис, потому что проблема - с железом.

    Попробуйте стянуть загрузочный диск с одной из следующих ссылок, эти диски - точно рабочие: LiveCD от DrWeb или Rescue Disc от Kaspersky Lab

  9. #8
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58
    Насчёт флэшки не ошиблись - заразил экзешник IceSword'a. Для уверенности удалил всё с флэшки и закачал на неё заново. (Не знаю нужно ли ещё что-то сделать?)

    Сейчас проверяю одним из методов описанной в правилах - программой vba32. Т.к. флэшка защищена сейчас от записи я не стал заморачиваться с записью проги на CD. Запустил прямо с флэшки - очень много файлов инфицировано по тому, что уже проверено. Идентифицирует как Virus.Win32.Sality.baka

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Лечитесь. Пролечите все флешки, абсолютно все файлы.
    Потом - всё, как предписывалось выше.

  11. #10
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58
    Всё сделал.
    Что изменилось и что нет:
    - больше ничего не ломится на флэшку, и (забыл упомянуть об этом в самом начале) не ломится в инет через установленное соединение.
    - Антивирусные программы пока не запускаются.
    - Админские права и диспетчер задач больше не вырубает после перезагрузки.

    Есть так же лог программы vba32 - файл vba32.rpt, но его прикрепить не получается - не знаю нужен он будет или нет.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Скачайте обычную версию AVZ. Все дальнейшие действия проводить с помощью обычной версии.
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Пофиксите в HiJackThis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     StopService('esihdrv');
     QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
     QuarantineFile('C:\Program Files\Windows Sidebar\.\regsvr32.exe','');
     QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
     QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esihdrv.sys','');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esihdrv.sys');
     DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
     DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
     DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F387232');
     DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
     DeleteFile('C:\WINDOWS\Tasks\At1.job');
     DeleteFile('At1.job');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('esihdrv');
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.
    Последний раз редактировалось gjf; 09.10.2009 в 13:51. Причина: уточнил

  13. #12
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58
    ExecuteStdScr(5); {обновление баз AVZ с автоматической настройкой}
    Мне наверное вот это придётся выполнить на чистом компе, т.к. ноут подключения к интернету не имеет. Не хочется мне его в нашу сетку втыкать. Я впринципе базы обновил, прежде чем записать avz на ноут. Может пропустить эту строчку?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Подправил скрипт в соответствии с информацией, полученной от Вас.

  15. #14
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58
    Сделано
    Логи прикреплены

    Вот карантин
    091009_144423_virus_4acf14071c509.zip

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Не видно ничего подозрительного. Проблема решена?

  17. #16
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58
    Вообщем-то да
    Только антивирусные программы по-прежнему не запускаются. Может ещё что-то осталось?

    В процессах я вижу, что процесс антивиря запускается, но тут же исчезает через полсекунды.

    В частности не запускается НОД32 и cureit.

    AVZ запускается нормально.
    Последний раз редактировалось CyberDyne; 12.10.2009 в 08:58.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Переустановить NOD пробовали?

  19. #18
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58
    вот сейчас пробую...

    Добавлено через 14 минут

    Нет всё-таки что-то осталось. Щас удалил НОД, пошла перезагрузка, загрузил - диспетчер задач опять закрыт.

    avz снова обнаружил блокировку диспетчера задач и редактора реестра
    Последний раз редактировалось CyberDyne; 12.10.2009 в 09:38. Причина: Добавлено

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Отключите автозапуск с флешек.
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить.
    Лечитесь заново с помощью LiveCD, флешки вставить все не забудьте...

  21. #20
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    58
    Что-то не получается с LiveCD загрузиться - я из образа распоковал и записал все папки, что там были на болванку, но с CD всё-равно не грузится.

  • Уважаемый(ая) CyberDyne, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 10.06.2012, 01:59
    2. Ответов: 1
      Последнее сообщение: 21.12.2010, 19:56
    3. Ответов: 3
      Последнее сообщение: 26.06.2010, 13:12
    4. Нестандартное поведение explorer.exe
      От Rudel в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.02.2009, 13:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01294 seconds with 19 queries