-
Junior Member
- Вес репутации
- 50
бешенное копирование
Добрый ночи
НЕ могу справиться с вирусом
Гдето подцепил Win32.Siggen.8
если конечно я правильно определил
Колдавал, Шаманил....
Сначало Куритом, чтото плохо из под винды ничего не помогало,
попробывал АВЗ
перезагрузился
получил ошибку 0xc0000142 и 0xc000012d чтото про dll ругаелся
Шаманил дальше
CureitCD - нашел кучу файликов, много вылечил и столько же тысяч удалил (копии с длиннющими названиями)...
Перезагружаюсь
с горем запустил АВЗ, сделал скан по правилам скрипт 3
перезагружюсь
нет рабочего стола......... комп не висит... но и на ничего не реагирует...
Помогите
Высылаю файл, который успел взять с компа до его текущего состояния
Последний раз редактировалось thyrex; 27.10.2011 в 20:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 50
забыл еще написатькогда комп в последние часы был заражен
а я пытался его почистить он бешенно копировал себя под названием системных файлов с приставкой помоему *msg.exe или dll и далее к названию добавлял msg пока длина имени не превышала максимального значения...
в это время запускалось куча процессов iexplore.exe
стоял сп1, но поставил с горем сп3
получил висяк описанный выше
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:
Код:
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\plugin.exe','');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
WhatService('iazqr');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
SaveLog(GetAVzDirectory+'iazqr.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
Найдите в папке AVZ файл iazqr.log и приложите его к следующему сообщению.
Сделайте лог MBAM.
-
-
Junior Member
- Вес репутации
- 50
скрипты выполнил
карантин в шапку слили!
логи сделал, iazqr.log и mbam-log прилагаю
Последний раз редактировалось thyrex; 27.10.2011 в 20:20.
-
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
DeleteFile('C:\WINDOWS\System32\nhpmdknf.dll');
ExecuteSysClean;
BC_ServiceKill('iazqr');
BC_DeleteSvc('Reset 5');
BC_DeleteSvc('r_server');
BC_DeleteSvc('DWMRCS');
BC_DeleteSvc('WinVNC4');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
F:\autorun.inf из карантина AVZ пришлите согласно приложению 3 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
карантин пустой!
лог высылаю
зато есть еще один эффект!
скрин во вложении и после последнего скрипта
не появился рабочий стол, explorer.exe не запустился.....
чтото пошаманил вроде запустился...
Добавляю
при запуске виндов (окно, Пож.подождите, Запуск Виндовс) очень долго стоит, ждать безполезно, пробегаешь хаотично по клавиатуре.... продолжает дальше грузиться!
Ввожу пароль к пользователю и опять долго стоит, некакой активности...
Простоял около 10 минут и появился раб стол и ошибка нод32 egui.exe 0xc00000005
Последний раз редактировалось thyrex; 27.10.2011 в 20:21.
-
Junior Member
- Вес репутации
- 50
попытался переустановить антивирус, установщик написал что не может получить доступ к службе Installer
далее нажал перезагрузиться и решил ничего не нажимать и ждать вот прошел без малого час появилось окно ввода пароля
замирания: при выходе из системы, при запуске и после ввода пароля.....
-
1. Сделайте проверку утилитой TDSSKiller, как написано здесь:
http://support.kaspersky.ru/viruses/...?qid=208636990.
2. Выполните скрипт в AVZ:
Код:
begin
BC_QrFile('C:\WINXP\System32\winlogon.exe');
BC_DeleteSvc('bppvxst');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=98865).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Проснулся
Вкл комп, и он грузится как обычно быстро, я хотел его разбить чем нидь, но одумался
1.TDSSKiller нашел и сделал все как нужно был в MBR один гад.....
2.скрипт выполнил
3. но карантин пустой
-
Ну тогда сделайте еще раз логи для контроля.
I am not young enough to know everything...
-