Показано с 1 по 14 из 14.

Вирус блокирует жёсткие диски (заявка № 94741)

  1. #1
    Junior Member Репутация
    Регистрация
    04.02.2010
    Сообщений
    13
    Вес репутации
    25

    Exclamation Вирус блокирует жёсткие диски

    Обнаружил, что жесткие диски сделаны сетевыми и заблокирована корзина и удаление с этих дисков. ComboFix что-то находит, но не помогает. Правда позволил разблокировать удаление на дисках. Диск Е вообще не виден снаружи - пробовал DrwebLiveUSB. Работает и зависает. После принудительной перезагрузки рушатся каталоги и винда запускает проверку диска. Ни Дрвеб ни касперский не помогают также.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,440
    Вес репутации
    904
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\TEMP\TF.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\VTLFBAVIVW.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\WQDQMDEDI.exe','');
     DeleteService('WQDQMDEDI');
     DeleteService('VTLFBAVIVW');
     DeleteService('TF');
     QuarantineFile('C:\WINDOWS\TEMP\RHVVJVFZPU.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\RBEVA.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\PJJSVAZC.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\NSYBIUQOL.exe','');
     DeleteService('NSYBIUQOL');
     DeleteService('PJJSVAZC');
     DeleteService('RBEVA');
     DeleteService('RHVVJVFZPU');
     QuarantineFile('C:\WINDOWS\TEMP\MNCNIZEEDI.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\COOPLRRC.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\CMKOXYM.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\CCSCKEHZP.exe','');
     DeleteService('CCSCKEHZP');
     DeleteService('CMKOXYM');
     DeleteService('COOPLRRC');
     DeleteService('MNCNIZEEDI');
     DeleteFile('C:\WINDOWS\TEMP\CCSCKEHZP.exe');
     DeleteFile('C:\WINDOWS\TEMP\CMKOXYM.exe');
     DeleteFile('C:\WINDOWS\TEMP\COOPLRRC.exe');
     DeleteFile('C:\WINDOWS\TEMP\MNCNIZEEDI.exe');
     DeleteFile('C:\WINDOWS\TEMP\NSYBIUQOL.exe');
     DeleteFile('C:\WINDOWS\TEMP\PJJSVAZC.exe');
     DeleteFile('C:\WINDOWS\TEMP\RBEVA.exe');
     DeleteFile('C:\WINDOWS\TEMP\RHVVJVFZPU.exe');
     DeleteFile('C:\WINDOWS\TEMP\WQDQMDEDI.exe');
     DeleteFile('C:\WINDOWS\TEMP\VTLFBAVIVW.exe');
     DeleteFile('C:\WINDOWS\TEMP\TF.exe');
     DeleteFile('C:\WINDOWS\Installer\26d74e6.msi');
     DeleteFileMask('C:\WINDOWS\TEMP','*.exe',false);
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

    Сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    04.02.2010
    Сообщений
    13
    Вес репутации
    25
    Скрипт выполнил.
    Забыл сказать, что ComboFix выдал
    e:\recycled\De2.exe . . . . Failed to delete
    c:\windows\regedit.exe . . . is infected!!
    c:\windows\system32\cscript.exe . . . is infected!!
    c:\windows\system32\mspaint.exe . . . is infected!!
    c:\windows\system32\mstsc.exe . . . is infected!!
    c:\windows\system32\sc.exe . . . is infected!!
    c:\windows\system32\services.exe . . . is infected!!
    c:\windows\system32\telnet.exe . . . is infected!!
    c:\windows\system32\tlntsess.exe . . . is infected!!
    c:\windows\system32\w32tm.exe . . . is infected!!
    c:\windows\system32\wscript.exe . . . is infected!!
    c:\windows\system32\wbem\wmiprvse.exe . . . is infected!!
    c:\windows\system32\dnsapi.dll . . . is infected!!
    ***
    Загрузить карантин по ссылке не удалось. Залил сюда же
    Вложения Вложения
    Последний раз редактировалось Никита Соловьев; 08.01.2011 в 03:26.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,440
    Вес репутации
    904
    сделайте лог комбофикс

  6. #5
    Junior Member Репутация
    Регистрация
    04.02.2010
    Сообщений
    13
    Вес репутации
    25
    Сделал. Правда ComboFix вылетает в процессе работы. Картинку прилагаю.
    Изображения Изображения
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,440
    Вес репутации
    904
    c:\windows\regedit.exe . . . is infected!!

    c:\windows\system32\cscript.exe . . . is infected!!

    c:\windows\system32\mspaint.exe . . . is infected!!

    c:\windows\system32\mstsc.exe . . . is infected!!

    c:\windows\system32\sc.exe . . . is infected!!

    c:\windows\system32\services.exe . . . is infected!!

    c:\windows\system32\telnet.exe . . . is infected!!

    c:\windows\system32\tlntsess.exe . . . is infected!!

    c:\windows\system32\w32tm.exe . . . is infected!!

    c:\windows\system32\wscript.exe . . . is infected!!

    c:\windows\system32\wbem\wmiprvse.exe . . . is infected!!

    c:\windows\system32\dnsapi.dll . . . is infected!!
    Заархивируйте в ZIP с паролем virus и пришлите эти файлы по ссылке "прислать запрошенный карантин"

  8. #7
    Junior Member Репутация
    Регистрация
    04.02.2010
    Сообщений
    13
    Вес репутации
    25
    Закачал. Только ссылку для поста там не нашёл???
    Файл сохранён как 110108_234824_Infected_4d28cd9834c28.zip
    Размер файла 1180102
    MD5 cd3abe2ea975a953b650ad89231789e6

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,440
    Вес репутации
    904
    Файлы в порядке. У Вас система сборка?

  10. #9
    Junior Member Репутация
    Регистрация
    04.02.2010
    Сообщений
    13
    Вес репутации
    25
    Да сборка. Раньше никаких претензий у Комбофикса не имелось. А сейчас на wmiprvse.exe ещё и макафи ругается - проверял на вирустотал. Вообщем, после каждой перезагрузки логические диски становятся системными. Удаления с диска Е нет, снаружи диск Е не виден. Корзина глючит с очисткой. Винэксплорер периодически вылетает.
    Переставлять винду?

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,440
    Вес репутации
    904
    Цитата Сообщение от Asylum Посмотреть сообщение
    А сейчас на wmiprvse.exe ещё и макафи ркгается - проверял на вирустотал.
    Какой результат?

  12. #11
    Junior Member Репутация
    Регистрация
    04.02.2010
    Сообщений
    13
    Вес репутации
    25
    File name: wmiprvse.exe
    Submission date: 2011-01-08 11:36:32 (UTC)
    Current status: finished
    Result: 1 /43 (2.3%)

    McAfee-GW-Edition 2010.1C 2011.01.08 Heuristic.BehavesLike.Win32.Suspicious.H

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,440
    Вес репутации
    904
    Цитата Сообщение от Asylum Посмотреть сообщение
    McAfee-GW-Edition 2010.1C 2011.01.08 Heuristic.BehavesLike.Win32.Suspicious.H
    Это не аргумент. Он там многие файлы определяет.

    Больше никаких аномалий у Вас в системе не вижу. Скорее всего это специфика сборки

  14. #13
    Junior Member Репутация
    Регистрация
    04.02.2010
    Сообщений
    13
    Вес репутации
    25
    Похожая история уже была, но вылечилась Комбофиксом в тот раз. В этот раз уже не получается. (((
    RootkitRevealer тоже находит всякие аномалии в реестре. Попробую их поправить и, если не будет результата, поставлю старую корявую лицензию )))

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,514
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Asylum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Выбираем жёсткие диски для хранилища NAS: быстрые против экономичных
      От ALEX(XX) в разделе Новости аппаратного обеспечения
      Ответов: 0
      Последнее сообщение: 24.11.2009, 16:44
    2. Экономичные жёсткие диски на 1,5 Тбайт: тест моделей WD и Samsung
      От ALEX(XX) в разделе Новости аппаратного обеспечения
      Ответов: 0
      Последнее сообщение: 26.06.2009, 17:19
    3. Ответов: 8
      Последнее сообщение: 22.03.2009, 16:30
    4. Жёсткие диски: современное состояние и перспективы развития
      От ALEX(XX) в разделе Новости аппаратного обеспечения
      Ответов: 0
      Последнее сообщение: 05.09.2008, 10:48
    5. Maxtor выпускает жёсткие диски объёмом 500 Гб
      От ALEX(XX) в разделе Высокие технологии
      Ответов: 0
      Последнее сообщение: 25.10.2005, 09:45

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00688 seconds with 21 queries