Показано с 1 по 9 из 9.

Комп грузится при попытке запустить HijackThis (заявка № 5755)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2006
    Сообщений
    8
    Вес репутации
    39

    Комп грузится при попытке запустить HijackThis

    Привет Всем! Вообщем, нашел на флешке новую папку, захожу, оказывается exe-шным файлом, открывается проводник и тишина! Далее, заметил в "Моих документах" в каждой из папок новый exe-шный файл с повторяющимся именем папки. Размеры файлов одинаковые 41,6 кб. При удалении этих файлов с флешки - удаляются, но потом опять появляются! При попытке скачать HijackThis комп грузится! Скачал через другой комп. При попытке загрузить HijackThis - комп говорит сбой при инициализации рабочей станции, перезагружается! DrWeb CoreIT - подвисает в конце работы!
    Еще в корневой директории диска нашел файл brengkolang.com.exe
    И еще: Исчезла иконка изменения свойств папки - не видно расширений файлов! Захожу через справку, говорит установлены ограничения, обратитесь к админу!
    Спасибо за внимание, кто, что знает - помогите!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Марсель
    Еще в корневой директории диска нашел файл brengkolang.com.exe
    начните с того, что пришлите (по правилам форума!) указанный файл, а также образец появляющихся файлов (те, которые по 41кб)

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    один файл получен - его нужно удалять, это вредоносная программа Email-Worm.Win32.Brontok.q.
    http://www.viruslist.com/ru/viruses/...?virusid=96428

    c:\windows\system32\dll32\csrss.exe - вот этот файл сами устанавливали? если нет - пришлите его
    C:\WINDOWS\system32\ComRoot\csrss.exe - видимо аналогичный файл

    вот эти файлы относятся к червю, их нужно удалить:
    c:\documents and settings\Пользователь\local settings\application data\lsass.exe
    c:\documents and settings\Пользователь\local settings\application data\services.exe
    c:\documents and settings\Пользователь\local settings\application data\winlogon.exe
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe
    C:\Documents and Settings\Пользователь\Local Settings\Application Data\smss.exe
    C:\WINDOWS\ShellNew\sempalong.exe
    C:\WINDOWS\eksplorasi.exe
    C:\Documents and Settings\Пользователь\Шаблоны\Brengkolang.com

    вот этих прислать:
    C:\WINDOWS\system32\SkinMenu.ocx
    C:\WINDOWS\System32\Drivers\Hotkey.SYS
    C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\Empty.pif
    C:\WINDOWS\nvsvc32.exe
    c:\autoexec.bat

    файл C:\Program Files\NewDotNet\newdotnet7_22.dll если он еще есть - удалить, лучше вместе со всей папкой C:\Program Files\NewDotNet\

    после получения указанных файлов будет рассказан подробный и полный алгоритм лечения (начать можно с поиска на диске файлов sempalong.exe, eksplorasi.exe, WowTumpeh.com, animation.scr, eksplorasi.pif, ElnorB.exe, A.kotnorB.com, 3d Animation.scr, bronstab.exe, IDTemplate.exe, bararontok.com, Bron.Tok.*, Brengkolang.com, Setting.scr, BronFoldNetDomList.txt, BronNetDomList.bat, BronNPath0.txt, rontokbro.txt, NetMailTmp.bin и их убиения)
    Последний раз редактировалось MOCT; 25.06.2006 в 20:24.

  5. #4
    Junior Member Репутация
    Регистрация
    25.06.2006
    Сообщений
    8
    Вес репутации
    39
    Огромное Спасибо, что помогаете! Замечательно, по описаниям все сходится! Но! - Вышеперечисленные файлы для моего компа не видимы(установлены настройки в реестре скрытые)! - реестр заблокирован! Воспользовался другим компом через сетку - все удаляемые файлы моментально восстанавливаются. процессы lsass.exe, services и winlogon - не удаляются! При нажатии завершить процесс - говорит, что процесс критический - не возможно!
    Через msconfig отключил автозагрузку всех файлов, но при перезагрузке загрузка только этих файлов восстанавливается! Попробовал через DOS блин у меня NTFS - DOS не видит диски! Может стоит попробовать вытащить жесткий диск с Notebook'а и как-нибудь подключить к настольному!??? Правда возможно-ли? Или лучше еще одну Винду поставить и уже с нее снести эти файлы? Еще раз премного благодарен за консультацию!!!

  6. #5
    Junior Member Репутация
    Регистрация
    25.06.2006
    Сообщений
    8
    Вес репутации
    39
    И еще, хитрым способом я все-таки залез в c:\documents and settings\Пользователь\local settings\application data , я даже не успел начать удалять, как пошло завершение работы компа!
    Ну блин вирус...ладно хоть ни чего не удаляет!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Марсель
    Вышеперечисленные файлы для моего компа не видимы(установлены настройки в реестре скрытые)! - реестр заблокирован! Воспользовался другим компом через сетку - все удаляемые файлы моментально восстанавливаются. процессы lsass.exe, services и winlogon - не удаляются! При нажатии завершить процесс - говорит, что процесс критический - не возможно!
    естественно, потому что у Вас в памяти висит настоящий winlogon, который трогать нельзя. ну и другие процессы тоже настоящие. надо сперва смотреть, откуда именно они стартуют, а потому уже убивать лишние.

    Цитата Сообщение от Марсель
    Через msconfig отключил автозагрузку всех файлов, но при перезагрузке загрузка только этих файлов восстанавливается! Попробовал через DOS блин у меня NTFS - DOS не видит диски! Может стоит попробовать вытащить жесткий диск с Notebook'а и как-нибудь подключить к настольному!??? Правда возможно-ли?
    можно, если Вы купили заранее специальный переходник для такого hdd

    Цитата Сообщение от Марсель
    Или лучше еще одну Винду поставить и уже с нее снести эти файлы?
    все можно решить не выключая компьютера и ничего дополнительно не устанавливая.

    однако, по-русски попросил прислать файлы, чтобы можно было сказать что делать дальше. мы же тут не бабки Ванги, чтобы заочно диагноз ставить...

  8. #7
    Junior Member Репутация
    Регистрация
    25.06.2006
    Сообщений
    8
    Вес репутации
    39
    Файлики отправил!

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Марсель
    Файлики отправил!
    C:\windows\system32\dll32\csrss.exe - почему-то в карантине отсутствует. попробуйте включить в AVZ противодействие руткитам и повторить добавление в карантин.

    все файлы empty.pif (в том числе присланный c:\documents and settings\пользователь\Главное меню\программы\автозагрузка\empty.pif) это файлы червя, их нужно удалить.

    c:\windows\nvsvc32.exe - KeyLogger Monitor.Win32.WinSpy.k
    удаляйте его с диска и из автозагрузки.

    c:\autoexec.bat - удаляйте, там только мусор, добавленный червем.

    рекомендации по чистке системы такие:
    1. удалить (или поставить в отложенное удаление AVZ) все файлы, имена которых я перечислял в предыдущих постах как имена файлов червя
    2. удалить все *.exe лежащие в папке вида C:\Documents and Settings\*\Local Settings\Application Data\
    3. удалить вышеуказанные файлы
    4. через менеджер автозапуска AVZ удалить ссылки на все перечисленные файлы червя.

    удалять лучше включив AVZGuard и потом не выключая его уйти на перезагрузку.

    после перезагрузки сделать новые логи AVZ и приложить к этой теме.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Какой-то Dr.Web у вас древний, версия 4.32? Толку от него мало. Скачайте новый:
    ftp://ftp.drweb.com/pub/drweb/window...433-win-ru.exe
    и получите демо ключ, если своего нет.

  • Уважаемый(ая) Марсель, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 21.04.2011, 21:25
    2. Вирус не дает запустить AVZ и HiJackThis
      От ParoLicH в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 17.08.2010, 21:00
    3. Ответов: 1
      Последнее сообщение: 19.08.2009, 11:27
    4. Не грузится ни KIS, HiJackThis, AVZ не лечит
      От itch в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.06.2009, 22:56
    5. Ответов: 5
      Последнее сообщение: 22.02.2009, 06:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01555 seconds with 21 queries