Показано с 1 по 14 из 14.

Множественные симптомы инфекции (в заголовок не влезут) (заявка № 68687)

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2010
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    26

    Question Множественные симптомы инфекции (в заголовок не влезут)

    Операционка WinXP

    1. Внезапные перезагрузки.
    2. Некоторое время ПК перегружался из стандартной ограниченной учётки. Потом стал перестал загружаться -- зависание или презагруз недоходя до окна приветствия.
    3. под Админом зайти смог. отключил все автозагрузки. Потом и под админом не грузилося. Загрузился по F8 SafeMode. Выключил автовосстановление, проверил имеющимися антивирусами (Нод32 и Нортон) -- ничего не нашли. Ч\з выпонить>msconfig полез отключить всё что можно -- отключил, при нажатии ОК, выдало "Для изменения настроек нужны права Администратора" (фразу не помню в точности, но суть такова)
    4. Пробывал зайти в обычном режиме -- перегружается не доходя до экрана приветствия. В SafeMode тоже стало грузьться ч\з раз. Грешил на аппаратную часть -- отключил все сетевые карты и видеокарту (драйвера). Не грузится. Вытащил одну из двух планку памяти -- стало грузиться в СейфМод стабильно. При включении драйверов видеокарты -- перезагруз. Драйвера видеокарты выключил, загрузил сейфмод.

    Закачал с другого ПК все программы, провёл все операции согласно инструкций в Правилах.

    CureIt! нашёл 30 зараженных файлов и телА. Некоторые в осн.папках Нортона. Что-то удалил, другие перенёс. Лечению ничто не поддалось.

    Что сейчас:
    Всё грузится, но наблюдаю торможение выполнения программ
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    782
    Выполните скрипт:
    Код:
    begin
     SetAVZPMStatus(true);
    RebootWindows(false);
    end.
    Система перезагрузится.
    Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
    virusinfo_syscheck.zip
    Сделайте лог с помощью GMER.
    gmer.log

  4. #3
    Junior Member Репутация
    Регистрация
    25.01.2010
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    26
    gjf,
    Спасибо за быстрый ответ.
    Уточняю:
    скрипт AVZ запускать в SafeMode или в обычном режиме? (Что из-под Админа я понял)
    из текста правил следует что в обычном... да оно и логично.
    Последний раз редактировалось Yurij7; 25.01.2010 в 22:19.

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    25.01.2010
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    26
    Цитата Сообщение от gjf Посмотреть сообщение
    Сделайте повторный лог
    Сделал.

    Запустил gmer система зависла. Ждал 2 часа, не отвисла
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    25.01.2010
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    26
    Цитата Сообщение от Yurij7 Посмотреть сообщение
    Сделал.

    Запустил gmer система зависла. Ждал 2 часа, не отвисла
    Вопрос: прегрузить и запустить по новой?

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    782
    Да нет, и так попробуем справиться.
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт:

    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     AddToLog('Удаление скрытого сервиса '+'ausopqsbe'+' - Результат:'+inttostr(BC_ServiceKill('ausopqsbe')) );
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     SetAVZPMStatus(false);
     SaveLog(GetAVZDirectory+'avz_log.txt');
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.

  9. #8
    Junior Member Репутация
    Регистрация
    25.01.2010
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    26
    Вроде бы всё сделал согласно инструкций.
    Но 2 момента смущает:
    1
    1. Запустите AVZ*. ........
    *Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности, антивирусов и брандмауэров). После перезагрузки ПО продолжит корректную работу.
    ........
    2. Подключитесь к сети Интернет, запустите AVZ*......
    Я перегружал ПК между запусками AVZ (между 1-м и 2-м пунктами). Нужно ли было это делать? Если нет, кажется нужно внести порядок в инструкцию.

    2
    Файрвола отдельного меня нету.

    зы: если глупость сказал, сорри.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    25.01.2010
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    26
    И ещё. Прошу прощения, я не запаролил архив с карантином

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    782
    Больше ничего вредоносного в логах не видно.
    Миссия выполнена
    Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
    Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
    В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи

  12. #11
    Junior Member Репутация
    Регистрация
    25.01.2010
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    26
    Итак, история повторилась.

    Установил СП3 с оф.сайта, поставил Комодо. Антивир нормальный не ставил пока. Жду Аваст рус.
    Около недели всё работало правильно.
    Потом начались проявления, описанные в первом топике.
    Наблюдал неделю. Такое впечатление, что микроб этот -- имеет интеллект
    Перезагрузки, торможения, зависания. Регулярности нет. Зависимости с действиями пользователя я не наблюдаю.
    Но так и хочется зайти в учётку Админа, чтобы запустить проверку или оптимизацию структуры дисков.
    Но я этого не делаю.


    Сегодня на ночь поставлю проверку Др.Вэб.
    завтра отработаю все логи согласно инструкций.

    Создать новую тему, или продолжить здесь?
    Последний раз редактировалось Yurij7; 10.02.2010 в 01:21. Причина: ашипки исправлял

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Здесь.

  14. #13
    Junior Member Репутация
    Регистрация
    25.01.2010
    Адрес
    Киев
    Сообщений
    17
    Вес репутации
    26
    Продолжить получилось в сервисе 911.
    Могу выложить отчёты и сюда, если нужно...

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,513
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Yurij7, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. MBR-инфекции возвращаются
      От CyberWriter в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 02.09.2011, 18:30
    2. Нужна помощь против инфекции
      От PuzzleMaster в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.08.2010, 12:51
    3. Ответов: 7
      Последнее сообщение: 09.07.2010, 14:38
    4. PandaLabs зафиксировала рост числа инфекций вирусом Sality.AO
      От kps в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 20.02.2009, 02:26

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00900 seconds with 22 queries