-
Junior Member
- Вес репутации
- 63
При включённом интернете РС постоянно перезагружается
При включённом интернете после загрузки ОС ХР выскакивает окно, что обратилась к модулю памяти и нет ответа и через секунду перезагружается и т.д., но после отлючения интернета все более мене нормально, но немного глючит мышка (т.е с паузой), а когда запустил утилиту AVPTool в обычном режиме, то она сразу же нашла вирус W32.Sality.X, но чтобы его удалить надо "безопасный режим", а вот его запустить невозможно т.к. пишет, что есть вирус и перезапускает только в обычный режим. Но я тогда запустил AVZ в обычном режиме "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" иполучил virusinfo_cure.zip и virusinfo_syscure.zip, а вот вторую часть выполнить не смог т.е. получить virusinfo_syscheck.zip т.к. когда я подключил интернет, то мгновенно всё пошло на перезагрузку! Подскажите пожалуйста, что делать?! Я на всякий случай отправляю Вам всё что смог вытащить! Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('G:\pgdSSe.eXe','');
QuarantineFile('G:\PgDSse.EXE','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('c:\windows\system32\lsass.exe','');
QuarantineFile('C:\Documents and Settings\Ilia\Шаблоны\A.kotnorB.com','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\INF\norBtok.exe','');
QuarantineFile('C:\Documents and Settings\Ilia\Главное меню\Программы\Автозагрузка\Empty.pif','');
QuarantineFile('C:\Documents and Settings\NetworkService\Главное меню\Программы\Автозагрузка\Empty.pif','');
QuarantineFile('C:\WINDOWS\system32\drivers\hgilm.sys','');
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
QuarantineFile('c:\program files\vistadriveicon\vistadrv.exe','');
QuarantineFile('c:\documents and settings\ilia\local settings\application data\winlogon.exe','');
QuarantineFile('c:\documents and settings\ilia\local settings\application data\services.exe','');
QuarantineFile('c:\documents and settings\ilia\local settings\application data\lsass.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
BC_DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('c:\documents and settings\ilia\local settings\application data\lsass.exe');
DeleteFile('c:\documents and settings\ilia\local settings\application data\services.exe');
DeleteFile('c:\documents and settings\ilia\local settings\application data\winlogon.exe');
DeleteFile('C:\WINDOWS\INF\norBtok.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\Documents and Settings\Ilia\Шаблоны\A.kotnorB.com');
DeleteFile('c:\windows\tasks\At1.job');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\PgDSse.EXE');
DeleteFile('G:\pgdSSe.eXe');
DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новые логи AVZ (не подключаяс к Интернету) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 63
При включённом интернете РС постоянно перезагружается
Спасибо! А как прислать карантин вверху ни чего нет?!
-
-
-
Junior Member
- Вес репутации
- 63
При включённом интернете РС постоянно перезагружается
Я карантин отослал, а сейчас после перезагрузке отправляю новые логи AVZ.
-
Junior Member
- Вес репутации
- 63
При включённом интернете РС постоянно перезагружается
Извините, что так долго отсылаю т.к. я сначала на своём компьютере все беру, а потом через компьютер приятеля всё отправляю Вам т.к. на своём РС не могу выйти в интернет.
-
Качайте свежий CureIt, он должен помочь.
Как лечить файловый вируc: http://virusinfo.info/showthread.php?t=15927
-
-
Junior Member
- Вес репутации
- 63
Спасибо! Я скачал с сайт этого CureIt записал на CD, но он не запустился на РС и тогда я пошёл на сайт, а там другая наверное версия CureIt-а и вот она пошла шерстить, наверное всю полную проверку РС до утра сделает?
Добавлено через 10 часов 22 минуты
Сегодня с утра поставил снова полную проверку с Dr.Web CureIt он пишет, что находит вирусы и их удаляет, а некоторые будут удалены при перезапуске РС, но после перезапуска я снова проверил AVZ и он снова их нашёл т.е. вирус как гидра рубишь голову и снова вырастает т.е. где-то есть какой-то генератор, а вот до него ни как не добраться?!
Последний раз редактировалось Ilia; 01.05.2010 в 12:04.
Причина: Добавлено
-
Компьютер может заражаться через:
- сеть, если у вас слабые пароли на учетных записях пользователей с правами администратора.
- флешки.
- открытые для записи через сеть папки с ехе файлами, если вы из запускаете.
Попробуйте http://www.freedrweb.com/livecd/
-
-
Junior Member
- Вес репутации
- 63
При включённом интернете РС постоянно перезагружается
Наверное, но сейчас я на своём РС в интернет не могу войти, а вирус удалить тоже немогу?! Видимо придётся заново устанавливать ОС ХР.
-
Junior Member
- Вес репутации
- 63
При включённом интернете РС постоянно перезагружается
Ура! Наконец-то как мне кажется мы с Вами совместно победили этот вирус т.е. после вашего скрипта я побробовал дважды утилиту Dr. Web CureIt! сканируя РС (сканирование проходило около 8 часов!), чередуя с AVZ и вот результат, посмотрите его пожалуйста или я рано радуюсь, хотя РС уже сам не перезапускается (были поражены практически все файлы и программы! Спасибо.
-
Похоже, что вируса больше нет.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
ExecuteWizard('TSW', 2, 2, true);
DeleteFile('C:\WINDOWS\tasks\At1.job');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','tscuninstall');
RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','tscuninstall');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 63
При включённом интернете РС постоянно перезагружается
Я запустил Ваш скрипт и выполнил AVZ пункт 2, высылаю архив. Спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\ilia\local settings\application data\lsass.exe - P2P-Worm.Win32.Bacteraloh.h ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Brontok.AP@mm, NOD32: Win32/Sality.NAM virus, AVAST4: Win32:Sality-AM )
- c:\documents and settings\ilia\local settings\application data\services.exe - P2P-Worm.Win32.Bacteraloh.h ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Brontok.AP@mm, NOD32: Win32/Sality.NAM virus, AVAST4: Win32:Sality-AM )
- c:\documents and settings\ilia\local settings\application data\winlogon.exe - P2P-Worm.Win32.Bacteraloh.h ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Brontok.AP@mm, NOD32: Win32/Sality.NAM virus, AVAST4: Win32:Sality-AM )
- c:\documents and settings\ilia\главное меню\программы\автозагрузка\empty.pif - P2P-Worm.Win32.Bacteraloh.h ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Brontok.AP@mm, NOD32: Win32/Sality.NAM virus, AVAST4: Win32:Sality-AM )
- c:\documents and settings\ilia\шаблоны\a.kotnorb.com - P2P-Worm.Win32.Bacteraloh.h ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Brontok.AP@mm, NOD32: Win32/Sality.NAM virus, AVAST4: Win32:Sality-AM )
- c:\documents and settings\networkservice\главное меню\программы\автозагрузка\empty.pif - P2P-Worm.Win32.Bacteraloh.h ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Brontok.AP@mm, NOD32: Win32/Sality.NAM virus, AVAST4: Win32:Sality-AM )
- c:\windows\inf\norbtok.exe - P2P-Worm.Win32.Bacteraloh.h ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Brontok.AP@mm, NOD32: Win32/Sality.NAM virus, AVAST4: Win32:Sality-AM )
- c:\windows\system32\csrcs.exe - Worm.Win32.AutoIt.tc ( DrWEB: Win32.HLLW.Autohit.11278, BitDefender: Gen:Trojan.Heur.AutoIT.Xq3@byRcR1kO )
- c:\windows\system32\wmdrtc32.dll - Virus.Win32.Sality.s ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Warezov.ET@mm, NOD32: Win32/Sality.NAM virus, AVAST4: Win32:Sality-AM )
- d:\recycled\dd7.3\avz4\avz.exe - P2P-Worm.Win32.Bacteraloh.h ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Sality.N, NOD32: Win32/Sality.NAM virus, AVAST4: Win32:Sality-AM )
- g:\pgdsse.exe - Worm.Win32.AutoIt.tc ( DrWEB: Win32.HLLW.Autohit.11278, BitDefender: Gen:Trojan.Heur.AutoIT.Xq3@byRcR1kO )
-