-
Junior Member
- Вес репутации
- 52
разрыв соединения с интернетом, невозможность запустить cure_it
не могу запустить cure it. пишет "срок действия лицензионного ключа истёк"
постоянно обрывается соединение (почти сразу же), помогает шаманство вроде:
интернет начинает работать только после отключения каких-то процессов и удаления из корня "C" подозрительного файла u5c9o2t1i5d4.exe 76,0 КБ (77*868 байт) с последующей заменой имени и расширения любого текстого файла на u5c9o2t1i5d4.exe
(если надо, могу ещё выложить лог prevx'a, он там многое что обнаружил)
P.S. - хронически не могу загрузиться в бесопасно режиме - выскакивает синий экран. ПОэтому все процедуры проводились в обычном режиме
Последний раз редактировалось nkrdbl; 24.08.2010 в 14:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\RECYCLER\S-51-9-25-3434476501-1644491933-601014513-1214\Instmsx.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('D:\autorun.wsh','');
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('C:\autorun.exe','');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Instmsx.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0076258761-8282067211-789184825-3618\wmfcgr.exe','');
QuarantineFile('gqtyyur.sys','');
DeleteService('gqtyyur');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ld7UioB3.sys','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ld7UioB3.sys');
DeleteFile('gqtyyur.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0076258761-8282067211-789184825-3618\wmfcgr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Instmsx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\autorun.exe');
DeleteFile('C:\autorun.wsh');
DeleteFile('D:\autorun.wsh');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLER\S-51-9-25-3434476501-1644491933-601014513-1214\Instmsx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
c интернетом теперь все в порядке, с cure it проблема осталась
Последний раз редактировалось nkrdbl; 24.08.2010 в 14:19.
-
Junior Member
- Вес репутации
- 52
-
Как давно скачивали CureIt?
Выполните скрипт в AVZ
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
починился Сэйфмод
сделал лог и прикрепил ещё лог prevx'a (может поможет чем либо)
Cure it 5 дневной свежести, сейчас качаю новую, вот уже вторые сутки качается, никак выкачаться не может...
кстати, до того, как обратился сюда, пытался сам что то полечить - убил червяка кидокиллером ... надеюсь эта инфа тоже чем либо поможет.
Последний раз редактировалось nkrdbl; 24.08.2010 в 14:19.
-
Junior Member
- Вес репутации
- 52
скачал свежий Cure it, он заработал, в сейфмоде удалил пару вирусов, вот новый лог
Последний раз редактировалось nkrdbl; 24.08.2010 в 14:19.
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=userinit.exe,
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
Больше ничего плохого
Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
спасибо огромное. и ещё такая проблемка - я не могу в свойствах папки поменять параметр "показывать скрытые файлы и папки"...
и меня интересует вот, а что это за строки в протоколе Avz?
>>> C:\WINDOWS\system32\sfcfiles.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\comres.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\ntoskrnl.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\ntkrnlpa.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\msdtc.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\cscript.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Функция NtAssignProcessToJobObject (13) перехвачена (805E839E->B14E3464), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtCreateKey (29) перехвачена (80577925->F74DA0E0), перехватчик spfi.sys
Функция NtCreateThread (35) перехвачена (80586C43->B14E349E), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtDeleteKey (3F) перехвачена (80593334->B14E3290), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtDeleteValueKey (41) перехвачена (80591F8B->B14E3302), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtEnumerateKey (47) перехвачена (80578E1C->F74F7CA2), перехватчик spfi.sys
Функция NtEnumerateValueKey (49) перехвачена (80587691->F74F8030), перехватчик spfi.sys
Функция NtOpenKey (77) перехвачена (80572BFC->F74DA0C0), перехватчик spfi.sys
Функция NtOpenProcess (7A) перехвачена (8058170A->B14E37B2), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtOpenThread (80) перехвачена (805E1939->B14E368E), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtProtectVirtualMemory (89) перехвачена (80581891->B14E352A), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtQueryKey (A0) перехвачена (80578A1C->F74F810, перехватчик spfi.sys
Функция NtQueryValueKey (B1) перехвачена (8057303F->F74F7F8, перехватчик spfi.sys
Функция NtSetContextThread (D5) перехвачена (80635937->B14E3426), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtSetValueKey (F7) перехвачена (80582294->B14E338E), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtTerminateProcess (101) перехвачена (8058E695->B14E38E6), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtTerminateThread (102) перехвачена (805838EF->B14E35AE), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtWriteVirtualMemory (115) перехвачена (805885C2->B14E35E6), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Проверяйте показ скрытых файлов
На остальное не обращайте внимания. Перехватчики от антивируса и эмулятора дисков. Подозрения на файлы объясняются тем, что у Вас скорее всего сборка, а не лицензионная система
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
а у меня нет антивируса то!
скрипт выполнил, показ скрытых файлов не работает до сих пор.
ещё вопрос - а на что это prevx ругается?
[Z] c:\windows\system32\drivers\iastor.sys [PX5: 45D2AE7718241B6AB45D04487B488800FCE0BC39] Malware Group: Malware Component
[BN] c:\windows\system32\drivers\gef7679.sys [PX5: 1AAA128E20709191B19900D6916E0A0012FDA12B] Malware Group: High Risk Rootkit
[B] c:\windows\system32\autorun.exe [PX5: 6732446900B8FDA7F00A0052F5ABFE00BD2000BF] Malware Group: High Risk System Back Door
[B] c:\windows\system32\autorun.~ex [PX5: 6732446900B8FDA7F00A0052F5ABFE000563073D] Malware Group: High Risk Worm
Последний раз редактировалось nkrdbl; 21.03.2010 в 13:52.
-
Сообщение от
nkrdbl
ещё вопрос - а на что это prevx ругается?
А prevxразве не относится к антивирусному софту?
Проверьте в реестре в ветке
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение)
А также в ветке
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
параметр "CheckedValue" тоже должен быть "1"
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
А prevxразве не относится к антивирусному софту?
Проверьте в реестре в ветке
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
параметры
ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение)
А также в ветке
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
параметр "
CheckedValue" тоже должен быть "1"
ну он бесплатно только сканит, лечить не лечит.
А редактор реестра не запускается. "библиотека aclui.dll не является образом программы для windows NT"
Добавлено через 2 часа 49 минут
поможете то?
Добавлено через 2 часа 30 минут
как пофиксить регедит не подскажете?
Последний раз редактировалось nkrdbl; 21.03.2010 в 19:25.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
комбофикс запускал уже но не по правилам (голова уже не соображала ничего к тому моменту) - то есть просто как скачал, сразу же запустил, не закрыв программ некоторых (насколько это критично?)
он тоже несмог там открыть редактор реестра, потребовал aclui.dll, который я в последствии скачал с локалки у кого то и после этого редактор реестра заработал.
В указанных вами строках действительно были неверные параметры, которые я изменил на верные (значение "1") и показ скрытых файлов заработал.
на диске Ц появились папки, которых раньше не замечал:
C:\cmdcons (скрытая)
C:\9556ef11f1bc6ed95903426694d4
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0076258761-8282067211-789184825-3618\wmfcgr.exe - P2P-Worm.Win32.Palevo.xym ( BitDefender: Gen:Heur.VB.Krypt.12, AVAST4: Win32:Malware-gen )
- c:\windows\system32\drivers\instmsx.exe - Net-Worm.Win32.Kolab.hfw ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Agent.VB.BHV, AVAST4: Win32:Malware-gen )
- g:\recycler\s-51-9-25-3434476501-1644491933-601014513-1214\instmsx.exe - Net-Worm.Win32.Kolab.hfw ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Agent.VB.BHV, AVAST4: Win32:Malware-gen )
-