Показано с 1 по 17 из 17.

Поймал вирус (заявка № 91686)

  1. #1
    Junior Member Репутация
    Регистрация
    22.06.2010
    Сообщений
    14
    Вес репутации
    24

    Поймал вирус

    Окажите помощь пожалуйста. Настраивал в офисе сеть, при этом пришлось расшарить некотрые папки на своем компе, после этого стал замечать, что комп стал долго думать, глянул, а у меня проц почти постоянно на 100% загружен, хотя никаких других признаков вируса нет. Попробовал запустить AVZ, выкинуло + исчез рабочий стол, пришлось перезагрузиться. после этого комп стал долго загружаться, хотя и dr.Web и outpost работают нормально, обновления идут. Проверил Вебом - чисто, загрузился через LiveCD, проверил AVPtool - чисто... Но при этом не запускается ни AVZ ниHijackThis ни в каком виде, не помогает ни переименование, ни полиморфный avz.... даже на пару секунд не появляются... кроме этого в логах аутпоста видно, что winlogon лезет на порнушные сайты, блокировка аутпостом портов и айпишника, куда пытается залезть winlogon, привела к завису компа...
    вот такие вот дела, что делать? винду перставлять ой как не хочется, да и сделать это ввиду одного диска - трудновато... поможете?

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,041
    Вес репутации
    1254
    Попробуйте сделать лог ComboFix

  4. #3
    Junior Member Репутация
    Регистрация
    22.06.2010
    Сообщений
    14
    Вес репутации
    24
    ComboFix тоже не запускается, ни в каком виде, не переименованный, ни какой...

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,041
    Вес репутации
    1254
    1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
    2.Загрузитесь с этого диска.
    3.Кнопка Пуск - Выполнить - erdregedit
    4.Посмотрите в реестре:
    ветка

    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр

    Код:
    userinit
    параметр

    Код:
    shell
    Содержимое этих параметров напишите в своем сообщении

  6. #5
    Junior Member Репутация
    Регистрация
    22.06.2010
    Сообщений
    14
    Вес репутации
    24
    userinit - userinit
    shell - explorer.exe
    кстати, combofix с livecd бесполезно запускать?

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,041
    Вес репутации
    1254
    Бесполезно.
    Цитата Сообщение от Dginko Посмотреть сообщение
    userinit - userinit
    Такого быть не может, Вы смотрите реестр самого livecd, скорее всего, а нужно заражённой машины. Зная этого зверя, там должно быть что-то в этом духе -
    Код:
    C:\WINDOWS\system32\userinit.exe,файл/файлы с бесмысленными именами
    .

  8. #7
    Junior Member Репутация
    Регистрация
    22.06.2010
    Сообщений
    14
    Вес репутации
    24
    да действительно, сорри
    userinit - c:\windows\system32\userinit.exe,C:\WINDOWS\system 32\poposrc.exe,C:\WINDOWS\system32\unlkzfr.exe,C:\ WINDOWS\system32\rsxigr.exe,
    еще есть ветка f0b0c18d - C:\WINDOWS\system32\unlkzfr.exe такая папка есть в windows и много весит...

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,041
    Вес репутации
    1254
    userinit - C:\WINDOWS\system32\userinit.exe, - должно быть так, включая запятую, исправляйте, удаляйте файлы, который перечислены после запятой и пробуйте запустить АВЗ

  10. #9
    Junior Member Репутация
    Регистрация
    22.06.2010
    Сообщений
    14
    Вес репутации
    24
    редактировать с livecd или загружаться в полноценную? сами эти exe не надо удалить, а то ведь они опять могут прописаться?

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,041
    Вес репутации
    1254
    Надо удалить, я дополнил пост. Редактируйте с livecd, хотя я думаю принципиальной разницы нет.

  12. #11
    Junior Member Репутация
    Регистрация
    22.06.2010
    Сообщений
    14
    Вес репутации
    24
    а параметр f0b0c18d удалять? еще есть usrint с C:\WINDOWS\system32\zeuijw.exe тоже какие-то непонятные.

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,041
    Вес репутации
    1254
    Да, это всё звери. Только будьте крайне аккуратны при работе с реестром.

  14. #13
    Junior Member Репутация
    Регистрация
    22.06.2010
    Сообщений
    14
    Вес репутации
    24
    Логи
    Вложения Вложения

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,041
    Вес репутации
    1254
    Пофиксите в hijackthis -

    Код:
    O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\CTERFXFX.DLL','');
     QuarantineFile('C:\WINDOWS\system32\drivers\SaiBus.sys','');  
     BC_ImportAll;
     ExecuteRepair(20);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  16. #15
    Junior Member Репутация
    Регистрация
    22.06.2010
    Сообщений
    14
    Вес репутации
    24
    пишет "ошибка загрузки. данный файл уже был загружен"

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,041
    Вес репутации
    1254
    Что с проблемой?

  18. #17
    Junior Member Репутация
    Регистрация
    22.06.2010
    Сообщений
    14
    Вес репутации
    24
    да вроде нормально все, спасибо.

  • Уважаемый(ая) Dginko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Поймал вирус
      От RubichekS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.05.2012, 00:42
    2. Поймал вирус
      От P--ashk--A в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.03.2012, 23:16
    3. Поймал вирус
      От hunter25 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.05.2011, 10:12
    4. Поймал вирус!!!
      От dimkont в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.07.2009, 05:03
    5. Поймал вирус
      От Noopp в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00352 seconds with 20 queries