Ошибка записи на диск при обновлении NOD или drweb

Printable View

27.06.2011, 13:02
everest109

Ошибка записи на диск при обновлении NOD или drweb

При обновлении drweb или nod32 антивирус выдает ошибку записи на диск.
27.06.2011, 13:04
Info_bot

Уважаемый(ая) [B]everest109[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
27.06.2011, 13:11
Acidorum

Здравствуйте!
Пожалуйста, сделайте логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL].
27.06.2011, 13:28
everest109

вложил логи AVZ

по ссылке на HiJackThis открывается программа HouseCall какие логи еще нужны? Спасибо !
27.06.2011, 13:47
everest109

вложил логи HijackThis

во вложении лог HijackThis . нашел версию программы v2.0.2 по ссылке в разделе помогите открывает программу Housecall/
27.06.2011, 13:55
Acidorum

Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\mnrefelza32.dll','');
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mnrefelza32.dll','');
QuarantineFile('C:\WINDOWS\fotxc.sys','');
DeleteFile('C:\WINDOWS\fotxc.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteService('mkdrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('mkdrv');
ExecuteRepair(13);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
[B][COLOR="Red"]Смените все пароли[/COLOR][/B].
27.06.2011, 14:21
everest109

Файл карантина закачан, спасибо!

все заработало спасибо!
27.06.2011, 15:00
Bratez

[QUOTE='hedgars;803263']Сделайте повторные логи.[/QUOTE]
Сделайте!
27.06.2011, 15:20
Acidorum

Перед повторными логами выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\mnrefelza32.dll');
DeleteFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mnrefelza32.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
И теперь можете делать повторные логи.
27.06.2011, 21:41
everest109

повторные логи

после выполнения скрипта сделал повторные логи
27.06.2011, 21:50
polword

- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
27.06.2011, 23:35
everest109

лог Malwarebytes Antimalware

во вложении запрошенный лог.
28.06.2011, 00:08
Acidorum

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL]:
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdfss (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wcscd (Rootkit.Agent) -> No action taken.

Зараженные папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\local settings\Temp\CSMA.tmp (Adware.RelevantKnowledge) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.[/CODE]
Сделайте повторный лог MBAM.
28.06.2011, 15:27
everest109

повторный лог

во вложении повторный лог MBAM
28.06.2011, 17:10
Acidorum

Чисто, что с проблемами?
28.06.2011, 17:23
everest109

проблемы ушли еще вчера после выполнения первого скрипта
29.06.2011, 17:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\fotxc.sys - [B]Rootkit.Win32.Qhost.dx[/B] ( DrWEB: Trojan.Hosts.5006, BitDefender: Trojan.Generic.5522323, NOD32: Win32/Spy.Banker.VNE trojan, AVAST4: Win32:Downloader-FYS [Trj] )[*] c:\\windows\\system32\\mnrefelza32.dll - [B]Trojan-Banker.Win32.Agent.bvq[/B] ( DrWEB: Trojan.PWS.Ibank.315, BitDefender: Trojan.Generic.KDV.200779, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.bixj[/B] ( DrWEB: Trojan.Packed.21425, BitDefender: Gen:Variant.Kazy.16854, AVAST4: Win32:Crypt-ISX [Drp] )[*] c:\\windows\\system32\\spool\\prtprocs\\w32x86\\mnrefelza32.dll - [B]Trojan-Banker.Win32.Agent.bvq[/B] ( DrWEB: Trojan.PWS.Ibank.315, BitDefender: Trojan.Generic.KDV.200779, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]