-
Junior Member
- Вес репутации
- 57
Помогите, Win 32 Virut 56...
Вчера утром внезапно Google Chrome выдал ошибку.
А после этого пошло поехало... половина программ перестала запускаться, затем система один раз вылетела в БСОД.
Все жутко лагало.
Ни один сайт где есть упоминание про антивирусы не открывался.
CureIt скачал через флешку с ноута.
Не запускался.
Через safe mode запустил.
Поставил на ночь - к утру нашлось очень много зараженных файлов 80% их - win32 virut 56.
Но были и некоторые другие, к сожалению я не запомнил названия.
Почти все файлы получили статус исцеленных.
Затем утром когда я повторно запустил быструю проверку все зависло намертво.
Ресетнул.
Больше в винду войти не мог, т.к. при загрузке попадал в BSoD с сообщением *** STOP: 0*0000007B
Dr.Web LiveCD стопорился на пауке и надписи press Alt + F1.
Kaspersky Rescue CD писал упорно какую то ошибку, если надо тоже могу вспомнить какую.
Единственное что пока что помогло это почти "лицензионный" диск Windows Xp- и установка системы поверх с восстановлением.
Сейчас все еще некоторые программы вылетают с ошибкой и я ничего на этом компе не делаю.
Вложил свежесделанные логи.
Прошу помощи и совета что делать.
Обновление:
Я забыл что сделал все в безопасном режиме.
Просто avz в обычном режиме пропадает через где то 4 секунды, и тоже самое с HIjackthis, но он в отличие от avz успел создать лог.
Так что теперь во вложении avz файлы с безопасного режима и hijackthis лог с обычного.
Кстати zip и rar не открыть,т.к. WinRar не запускается тоже.
Последний раз редактировалось Kirlich; 04.12.2009 в 19:21.
Причина: исправление
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 57
Так я же говорю какие у меня проблемы с LiveCd.
Не могу так.
А в безопасном режиме я CureIt лечил уже, хотя сейчас он по-прежнему если поставить полную проверку найдет еще.
Это сделаю.
-
Пролечитесь с LiveCd от Касперского.
-
-
Junior Member
- Вес репутации
- 57
Так от Касперского тоже ошибка - Bios error и ничего больше.
Добавлено через 3 минуты
И еще вопрос - что мне делать с AVZ - он закрывается и я не могу сделать лог нормального запуска ( не безопасного режима).
Нужен ли он?
Последний раз редактировалось Kirlich; 04.12.2009 в 19:34.
Причина: Добавлено
-
Пока файловый вирус не выгоните, дальнейшие действия смысла не имеют.
Попробуйте какой-нибудь Live CD на базе Windows, запустите из-под него CureIt через командную строку:
Код:
cureit.exe -sp"/not_use_shield"
Имя исполняемого файла, естественно, реальное поставьте и путь укажите, где лежит.
-
-
Junior Member
- Вес репутации
- 57
Хорошо.
Повторно долечиваюсь CureIt с безопасного режима и пробую LiveCd ( я качаю Alkid Live Cd ноябрь).
Завтра доложу о результатах.
Добавлено через 11 часов 30 минут
Пролечился CureIt, вирусов почти не нашел, а virut вообще не было.
Сейчас сижу через Alkid Live Cd, проверяюсь AVP и Вебом оттуда.
Но там еще очень много всяких других утилит - что еще посоветуете оттуда?
Добавлено через 4 минуты
И еще у меня тут на компе в обычном режиме был процесс 8lkyqp.exe,
а сейчас он появился и ноутбуке.
Я надеюсь что это связано с вроде бы запущенным CureIt, но не уверен ( т.к. имя у файла Веба другое)
Никто не знает что это за процесс может быть?
Ггуль как ни странно ничего об этом не знает.
Что делать?
Комп и ноут были связаны через сетевой диск (я телефон Nokia 5800 по Wi fi сделал сетевым диском).
Последний раз редактировалось Kirlich; 05.12.2009 в 07:55.
Причина: Добавлено
-
Сделать логи из нормального режима уже можете? Тогда на выполнение
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Ок. Выполняю.
Хотя в памяти какие то процессы висят еще как оказалось.
-
Junior Member
- Вес репутации
- 57
Вот новые логи.
blablabla.exe - это я так назвал сам HiJackThis чтобы он не исчезал через 3 секунды.
Последний раз редактировалось Kirlich; 05.12.2009 в 13:26.
-
Junior Member
- Вес репутации
- 57
А так же еще вот такая ошибка вылезает периодически и через диспетчер задач значится что это explorer.exe и после нажатия ок исчезает рабочий стол и все остальное на несколько секунд, как при зависании процесса explorer.exe.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\qrxal.exe','');
QuarantineFile('C:\WINDOWS.0\wind7upd.exe','');
QuarantineFile('C:\WINDOWS.0\system32\userini.exe','');
QuarantineFile('C:\WINDOWS.0\fonts\services.exe','');
QuarantineFile('c:\windows.0\explorer.exe:userini.exe','');
TerminateProcessByName('c:\windows.0\explorer.exe:userini.exe');
QuarantineFile('c:\windows.0\system32\msnwm.exe','');
TerminateProcessByName('c:\windows.0\system32\msnwm.exe');
DeleteFile('c:\windows.0\system32\msnwm.exe');
DeleteFile('c:\windows.0\explorer.exe:userini.exe');
DeleteFile('C:\WINDOWS.0\fonts\services.exe');
DeleteFile('C:\WINDOWS.0\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS.0\wind7upd.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\Documents and Settings\Admin\qrxal.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пролечитесь http://support.kaspersky.ru/faq/?qid=208636998 , Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 57
Выполняю.
обновление:
скрипт выполнен успешно, сейчас выполняю virutkiller.exe - очень долго сканирует.
Пока что могу добавить , что не открывается сайт virustotal и сайты касперского и веба, хотя ваша ссылка открылась как ни странно.
Вот что пишет на сайт веба и касперского
Not Found
The requested URL /lofiversion/index.php/t103736.html was not found on this server.
и логотип гугла.
Надо ли делать новые логи до завершения сканирования virutkiller'ом?
Просто у меня предчувствие, что он будет сканировать часа 2.
Карантин прислал.
Последний раз редактировалось Kirlich; 05.12.2009 в 15:21.
-
Сообщение от
Kirlich
Надо ли делать новые логи до завершения сканирования virutkiller'ом?
В обязательном порядке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Высылаю.
Извиняюсь за задержку.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\msnwm.bak','');
QuarantineFile('C:\System Volume Information\_restore{3859772F-1A82-4E5D-8CD4-DA5088863316}\RP1\A0004326.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS.0\fonts\services.exe','');
DeleteFile('C:\WINDOWS.0\fonts\services.exe');
DeleteFile('C:\System Volume Information\_restore{3859772F-1A82-4E5D-8CD4-DA5088863316}\RP1\A0004326.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS.0\system32\msnwm.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Ознакомьтесь http://virusinfo.info/showthread.php?t=61596
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Вот новые логи после выполнения скрипта.
Логи с помощью версии AVZ сделанной по инструкции.
В карантине нет ничего.
Ну так что дальше делать?
Последний раз редактировалось Kirlich; 05.12.2009 в 19:12.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\fonts\services.exe','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\vtjxprmb.sys','');
DeleteService('vtjxprmb');
DeleteFile('C:\WINDOWS.0\System32\Drivers\vtjxprmb.sys');
DeleteFile('C:\WINDOWS.0\fonts\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Высылаю новые логи.
А также выслал карантин.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS.0\fonts\services.exe');
BC_DeleteFile('C:\WINDOWS.0\fonts\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новые логи.
Последний раз редактировалось pig; 05.12.2009 в 20:06.
Причина: опечатка в скрипте
-