Показано с 1 по 15 из 15.

Непонятная блокировка Windows (заявка № 89225)

  1. #1
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    61

    Непонятная блокировка Windows

    Здравствуйте!

    Пытался справится с вирусом самостоятельно:
    В ходе интернет-серфинга вылезло сообщение о завершении работы системы через 30 сек. Полагая, что это обыкновенный "розовый баннер" я сразу перезагрузил компьютер в другую систему (чистую Win 7, которой редко пользуюсь) и "почистил" оттуда папку Documents and Settings/Temp/ ,а так же выполнил проверку Курьетом, который удалил зараженный файл sfcfiles.dll из папки system32. Так же подозрительная .dll была в папке IE, я ее оттуда перенес. В результате этих действих Win XP при загрузке в обычном режиме намертво висла показывая лишь обои рабочего стола (без самой панели задач и иконок). Затем из Win 7 с сайта dll.ru восстановил sfcfiles.dll после чего что в обычном, что в безопасном режиме опять стала появляться табличка о завершении работы (процесс system32/services.exe код 1073741819), в обычном режиме рабочий стол еще и полностью заблокирован. Ни каких баннеров и прочего при этом нет.

    Так как что дальше делать не знаю, с нетерпением жду вашей помощи!
    Логи по правилам пытался сделать из безопасного режима, но в ходе выполнения скрипта лечения и сбора информации в самом конце АВЗ подвис и создался только файлик virusinfo_cure, а скрипт сбора информации хоть и был завершен полностью, но отчета почему-то так же нет.

    Заранее спасибо за помощь!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Пофиксите в hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\e0d2ac3b.exe,C:\WINDOWS\system32\4b07afdf.exe,C:\WINDOWS\system32\mrulcm.exe,
    ПЕрезагрузитесь. Запустите AVZ ещё раз

  4. #3
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    61
    Добрый вечер!

    Пофиксил, перезагрузился - не помогло... AVZ все равно не сохранял лог.

    Сделал еще раз быструю проверку свежим сегодняшним Курьетом - удалил файлик system32/mrulcm.exe Trojan.PWS.Ibank.183 После этого удалось загрузиться в обычном режиме и сделать логи. Посмотрите пожалуйста:

    И, не знаю важно это или нет, но в логах АВЗ возможно есть упоминание о каких-либо файликах, связанных с программами Solidworks и MPI (Plastic Insight) Это 100% не вирусы - пользуюсь ими давно, просто, понятное дело, они не лицензионные.
    Последний раз редактировалось KsunReh; 04.10.2010 в 21:51.

  5. #4
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    61
    Так же Курьет только что обнаружил: system32/sfcfiles - Trojan.WinSpy.937 - исцелен. Никакие программы, кроме браузера (захожу только на этот сайт и сайт др.Веб) естественно пока не запускались. Значит похоже не все еще добито...

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    пофиксите в hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\e0d2ac3b.exe,C:\WINDOWS\system32\4b07afdf.exe,C:\WINDOWS\system32\mrulcm.exe,
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\mrulcm.exe','');
     QuarantineFile('C:\WINDOWS\system32\e0d2ac3b.exe','');
     QuarantineFile('C:\WINDOWS\system32\4b07afdf.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll','');
     QuarantineFile('C:\Program Files\Opera\setupapi.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
     DeleteFile('C:\Program Files\Opera\setupapi.dll');
     DeleteFile('C:\WINDOWS\system32\4b07afdf.exe');
     DeleteFile('C:\WINDOWS\system32\e0d2ac3b.exe');
     DeleteFile('C:\WINDOWS\system32\mrulcm.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

    + новые логи AVZ

  7. #6
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    61
    Добрый вечер!

    Пофиксил, перезагрузился. Скрипт выполнил, перезагрузился.
    Карантин прислал.

    Новые логи и отчет RSIT прикрепляю:

    P.S.: Сейчас в общем-то из наблюдаемых проблем осталась лишь одна - синий экран смерти при завершении работы винды. Началось это примерно сразу после начала лечения (мож какая нужная зараженная .dll антивирусом была удалена?) Информация на экране: STOP: 0x0000008E (0xC0000005, 0x8066AEB1, 0xB8723B2C, 0x00000000)
    Последний раз редактировалось KsunReh; 05.10.2010 в 21:01.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    61
    К сожалению сделать лог не могу... Закрыл все программы, выключил антивирус, файервол, запустил комбофикс - компьютер перезагрузился, программа написала про инфицирование sfcfiles.dll и что-то про точку восстановления и... зависла (мышь и клавиатуру не трогал).

    После перезагрузки со второй попытки программа скачала некую панель от майкросовт и начала проверку, но не через 10 минут ни через час файл с логом не появился...

    На третью попытку программа опять зависла еще до начала проверки, после создания точки восстановления...

    Попробую еще раз, но может мне нужно проделать еще какие-нибудь подготовительные действия?

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Попробуйте сделать лог в безопасном режиме
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    61
    Добрый вечер!

    Извиняюсь за задержку, компьютер доступен только по вечерам... В общем сделать лог в безопасном режиме тоже не получилось: во-первых программа сообщила о необходимости отключения работающего антивируса (НОД 32), хотя никаких признаков его работы в безопасном режиме я не наблюдал (даже в диспетчере задач нужного процесса вроде не было). Затем Комбофикс так же повисла - отчет не появился даже за 9 часов! (Мышь и клавиатуру не трогал)

    Пришло в голову заменить sfcfiles.dll системы на нормальный с диска с Виндой. После этого проблема синего экрана вроде бы исчезла и смог сделать лог в обычном режиме...

    Посмотрите пожалуйста! А исчезновение языковой панели и прочее - это нормальное следствие работы данной программы?

    Новые логи делать надо? (сейчас вроде все нормально, за исключением изменений, сделанных Комбофикс)

  12. #11
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    61
    Вот новые логи, если они вдруг нужны...

  13. #12
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    61
    Посмотрите, пожалуйста, лог КомбоФикс... не зря же я его 2 дня пытался сделать.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Плохого не увидел.

    Цитата Сообщение от KsunReh Посмотреть сообщение
    Посмотрите пожалуйста! А исчезновение языковой панели и прочее - это нормальное следствие работы данной программы?
    Да.

    Удалите ComboFix

    Если языковая панель не появилась, пуск -> выполнить -> ctfmon.exe

  15. #14
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    61
    Спасибо за помощь!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\mozilla firefox\\setupapi.dll - Trojan.Win32.Zapchast.cje ( DrWEB: Trojan.Siggen.64523, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OTM trojan, AVAST4: Win32:Patched-TI [Trj] )


  • Уважаемый(ая) KsunReh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Блокировка Windows
      От proconsul в разделе Вредоносные программы
      Ответов: 7
      Последнее сообщение: 21.03.2012, 19:25
    2. Ответов: 17
      Последнее сообщение: 26.01.2011, 21:33
    3. Обновление Windows и всякая непонятная фигня
      От ettaine в разделе Microsoft Windows
      Ответов: 2
      Последнее сообщение: 20.07.2010, 15:20
    4. Непонятная блокировка пользователя
      От SokoL_SPb в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 08.08.2009, 11:29
    5. Ответов: 5
      Последнее сообщение: 15.04.2009, 18:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00903 seconds with 19 queries