Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

o9v4r7m9g1x5.ехе (заявка № 76445)

  1. #1
    Junior Member Репутация
    Регистрация
    05.04.2010
    Сообщений
    14
    Вес репутации
    52

    Thumbs up o9v4r7m9g1x5.ехе

    Приветствую вас!
    Вот где-то подхватил эту вирусню (o9v4r7m9g1x5.ехе), на форуме уже есть аналогичный запрос (у меня такие же симптомы) http://virusinfo.info/showthread.php?t=74864. НО когда надо было перезагрузиться в безопасном режиме, то комп, при выборе режима загрузки на "безопасный режим" автоматически начинает его снова перезагружать и опять выводит выбор режима, т.е. не хочет загружаться в "б.р", как вы и предусматривали в этом случае http://virusinfo.info/showthread.php?t=9279 , но при запуске AVZ окно утилитки появляется на несколько секунд и пропадает, даже не успеваю ничего сделать. Какие могут быть альтернативные дальнейшие действия, заранее благодарен!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте логи с помощью полиморфного AVZ (ссылка в моей подписи)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    05.04.2010
    Сообщений
    14
    Вес репутации
    52
    Я все сделал как и говорили, запустив полиморфный AVZ, я прописал код
    begin
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    после чего выдало сообщение, что скрипт выполнен правильно и пошла перезагрузка компа, я снова попробовал запустить "б.р", но мне опять выдало черный экран на котором мелькали надписи, и в конце выдало вверху надпись безопасный режим и винда..... а в центре окно с надписью lsass.exe - Системная ошибка. Неправильный формат конечной точки и кнопока ОК.

    Добавлено через 1 минуту

    Я нажал на ОК и все вообще пропало, просто черный экран и не реагирует комп.

    Добавлено через 1 минуту

    Можно ли запустить проверку с помощью AVPTool или CureIt! не в безопасном режиме?
    Последний раз редактировалось Rotvik; 18.04.2010 в 13:41. Причина: Добавлено

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Не занимайтесь самодеятельностью, а выполняйте правила
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    05.04.2010
    Сообщений
    14
    Вес репутации
    52
    я бы с радостью, но комп не грузится в "б.р.". Что делать?

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пропустите проверку в безопасном режиме и переходите к разделу Диагностика. Логи нужно делать в нормальном режиме
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    05.04.2010
    Сообщений
    14
    Вес репутации
    52
    Отключать востановление системы?

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Да
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    05.04.2010
    Сообщений
    14
    Вес репутации
    52
    Vse sdelal,no teper u menya zablokirovana yazikovaya panel,ne mogu menyt yaziki, zablokirovano panel zadach,piwet, chto zablokirovano adminom, no ya i est admin...i pitaus otpravit files, poluchinie, v prozesse diagnostiki, no mne vidaet, chto ne moget otobrazit stranizu.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выложите логи на файлообменник и ссылку сообщите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    05.04.2010
    Сообщений
    14
    Вес репутации
    52
    podskagite,pogaluysta, adressok filoobmennika!

    Добавлено через 20 минут

    http://fileshare.in.ua/3350162
    http://fileshare.in.ua/3350169
    http://fileshare.in.ua/3350172

    Добавлено через 22 минуты

    tak podxodit?

    Добавлено через 51 секунду

    A moget snesti sistemu i ne muchatsya? kak dumaete pomoget?

    Добавлено через 5 минут

    http://www.letitbit.ru/files/31572/v...fo_syscure.zip
    http://www.letitbit.ru/files/31576/v...o_syscheck.zip
    http://www.letitbit.ru/files/31579/hijackthis.log
    Последний раз редактировалось Rotvik; 18.04.2010 в 16:19. Причина: Добавлено

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\03.scr','');
     QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\913b6900d6019df6e14d471993ddd188\backup\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\System Volume Information\_restore{1A064D5C-D540-4802-A39F-0421FCEEB85D}\RP140\A0058420.exe:ext.exe:$DATA','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1906104345-5145627043-264494243-8776\sysdate.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\knivk.sys','');
     DeleteService('dac970nt');
     TerminateProcessByName('c:\windows\system32\qtplugin.exe');
     QuarantineFile('c:\windows\system32\qtplugin.exe','');
     DeleteFile('c:\windows\system32\qtplugin.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\knivk.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-1906104345-5145627043-264494243-8776\sysdate.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{1A064D5C-D540-4802-A39F-0421FCEEB85D}\RP140\A0058420.exe:ext.exe:$DATA');
     DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\913b6900d6019df6e14d471993ddd188\backup\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\03.scr');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи и прикрепите их к своему сообщению через кнопку Расширенный режим
    ПРи невозможности - на файлообменник без отсчета времени
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    05.04.2010
    Сообщений
    14
    Вес репутации
    52

    Все выполнил!

    Все выполнил и УРА у меня появилась языковая панель с возможностью изменения языков! Но к сожалению, я так и не могу прикрепить файлы отчета, посему выложу их на файлообменник опять, и еще мне в процессе сканирования программой Hijackthis выдает сообщение, которое я тоже, с Вашего позволения, выложу на файлообменник! Заранее благодарен!

    Добавлено через 3 минуты

    http://www.letitbit.ru/files/32574/hijackthis.log
    http://www.letitbit.ru/files/32576/v...fo_syscure.zip
    http://www.letitbit.ru/files/32577/v...o_syscheck.zip
    http://www.letitbit.ru/files/32579/t...yy_risunok.bmp
    Последний раз редактировалось Rotvik; 18.04.2010 в 22:23. Причина: Добавлено
    Ci vis pacem - para belum! (Хочешь мира - готовься к войне!)

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SEtAVZPMStatus(True);
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    Пофиксите в HiJack
    Код:
    O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
    Что за коллекция зверья у Вас в папке C:\Viktor\dissemination ?

    Сделайте новые логи и пробуйте прикрепить на форуме
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    05.04.2010
    Сообщений
    14
    Вес репутации
    52
    Все выполнил, как вы и говорили. Наконец-то могу прикреплять файлы в форуме. А это сборище нечести, которое в той папке, так это товарищ попросил немного похранить у себя на компе, но я даже не открывал папку.
    Ci vis pacem - para belum! (Хочешь мира - готовься к войне!)

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с безопасным режимом?

    Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    05.04.2010
    Сообщений
    14
    Вес репутации
    52
    Наконец то завершилось сканирование...20 с лишним часов....
    С безопасным режимом все тоже, черный экран, по которому бежит строка multi(...)disk(....)... остальное не успеваю прочитать, но весь экран в этий надписе, то есть каждая строчка одинаковая и и появляется построчно с большой скоростью, будто выполняется программка, а потом тоже самое, что я раньше описывал. черный экран слова находят друг на друга, но можно разобрать, что написано безопасный режим и дальше инфа про винду, а посередине открывается окошко с надписями, которые я уже описывал...
    Ci vis pacem - para belum! (Хочешь мира - готовься к войне!)

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\Temp\tmp8291.exe','');
     QuarantineFile('C:\WINDOWS\Temp\7.exe','');
     DeleteFile('C:\WINDOWS\Temp\7.exe');
     DeleteFile('C:\WINDOWS\Temp\tmp8291.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
    
    Зараженные папки:
    C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\system32\drivers\88702222.sys (Rootkit.Agent.H) -> No action taken.
    C:\Documents and Settings\Администратор\Рабочий стол\avz4\avz4\Infected\2010-04-18\avz00001.dta (Worm.Kolab) -> No action taken.
    C:\System Volume Information\_restore{1A064D5C-D540-4802-A39F-0421FCEEB85D}\RP140\A0058114.exe (Rogue.SystemDoctor) -> No action taken.
    C:\System Volume Information\_restore{1A064D5C-D540-4802-A39F-0421FCEEB85D}\RP140\A0058118.exe (Rogue.SystemDoctor) -> No action taken.
    C:\System Volume Information\_restore{1A064D5C-D540-4802-A39F-0421FCEEB85D}\RP140\A0058130.dll (Rogue.DriveCleaner) -> No action taken.
    C:\System Volume Information\_restore{1A064D5C-D540-4802-A39F-0421FCEEB85D}\RP140\A0058139.exe (Rogue.ContentEraser) -> No action taken.
    C:\System Volume Information\_restore{1A064D5C-D540-4802-A39F-0421FCEEB85D}\RP140\A0058142.exe (Rogue.CleanupTool) -> No action taken.
    C:\System Volume Information\_restore{1A064D5C-D540-4802-A39F-0421FCEEB85D}\RP140\A0058144.exe (Rogue.CleanupTool) -> No action taken.
    C:\System Volume Information\_restore{1A064D5C-D540-4802-A39F-0421FCEEB85D}\RP140\A0058148.dll (Rogue.DriveCleaner) -> No action taken.
    C:\WINDOWS\Temp\tmp8291.exe (FakeMS) -> No action taken.
    C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
    C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
    C:\WINDOWS\Temp\7.exe (Worm.AutoRun) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    05.04.2010
    Сообщений
    14
    Вес репутации
    52
    Я выполнил скрипт в AVZ, на долю секунды появился синий экран с надписями белого цвета и пошла перезагрузка, потом при загрузке винды были надписи, но не надписи, а ноборы символов.... Для выполнения карантина надо в AVZ выполнить скрипт лечения, а потом еще скрипт сбора информации, правильно или можно просто скрипт сбора информации?
    Ci vis pacem - para belum! (Хочешь мира - готовься к войне!)

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Для создания карантина нужно прочитать внимательно Приложение 3 правил

    В МВАМ удалили написанное?
    Сделайте еще раз лог МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Rotvik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01039 seconds with 18 queries