Вирус убивает .ЕХЕ файлы

Printable View

16.04.2008, 02:06
GAB

Вирус убивает .ЕХЕ файлы

система ХР+SP2
стоял нод+zone alarm
запустил Консультант плюс-лежит на сервере,
нод и ЗА просто умерли. АВЗ не запускается.
после перезагрузки avz.exe вообще исчез из директории...
при запуске любой программы в процессах появляется что-то вроде b650de.exe находится в папке темп...
антивирусы не запускаются(запускаешь авз-появляется ина 1-2 сек и закрывается),запускал cureit -синий экран,пытался переустановить НОД-синий экран,любые режимы загрузки кроме обычного приводят к синему экрану..
что делать НЕ ЗНАЮ!!!!
за день до случившегося,приходили обновлять Консультант...но обновляли с диска..вот в раздумьях то ли внутри сетки вирь, то ли принесли...
помогите пож-та
16.04.2008, 03:18
Bratez

Используя загрузочный CD или консоль восстановления поищите такие файлы (вероятно, будут иметь атрибут "скрытый"):
[b]C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe[/b]
и папку:
[b]C:\WINDOWS\system32\drivers\down[/b]

Если найдутся, их нужно удалить.
Предварительно скопируйте их в отдельную папочку, чтобы потом прислать нам для исследования.
16.04.2008, 13:25
GAB

указанные фалы не найдены..вирус еще жив....еще одно его проявление-при включенном файерволе появляются сообщение-разблокировать,блокировать или отложить и так почти для всех приложений которые запускаешь..ну и конечно для ехешников вируса тоже спрашивает..где искать эту заразу???

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

выслал архив с вирусами..эти файлы появляются в папке DocandSet\user\localSettings\temp..
они ,как я понимаю,следствия работы вируса...но где найти источник???
прошу помощи..заранее спасибо
16.04.2008, 13:26
wise-wistful

Давайте попробуем так.
Скачайте переименованный [url=http://wise-wistful.ifolder.ru/6132900]IceSword[/url] (его exe-файл в hockey.pif)
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Оба лога запакуйте в один архив и прикрепите архив.
16.04.2008, 14:54
GAB

выслал логи,как просили..жду ответа..
16.04.2008, 14:55
Гриша

Куда выслали?их нужно прикрепить к сообщению!
16.04.2008, 15:01
GAB

Вложений: 1

сорри =))прикрепил
16.04.2008, 16:19
GAB

еще симптомы
переустановил систему ..снес раздел с,другие не трогал
перегрузился,установил нод,запускаю-сниний экран и все тоже...не один из режимов загрузки не работает,антивирусы не запускаются!!!
ужас вообщем...получается все ехешники битые??а может и документы???
помогите!!S.O.S!!!
16.04.2008, 16:22
kps

Запароливать архив с логами было совсем необязательно ;)

Сделайте пожалуйста следующее:
Скопируйте с помощью IceSword как написано здесь: [url]http://virusinfo.info/showthread.php?t=17109[/url] следующие файлы:
D:\DOCUME~1\gab\LOCALS~1\Temp\winmmbbis.exe
D:\DOCUME~1\gab\LOCALS~1\Temp\34538.exe
D:\WINDOWS\System32\Drivers\ak4tqczi.SYS
D:\WINDOWS\System32\Drivers\Beep.SYS
D:\WINDOWS\system32\drivers\skkkqo.sys
Скопированные файлы запакуйте в архив с паролем virus и пришлите по этой ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21580[/url]

Затем внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и если они есть - удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
D:\DOCUME~1\gab\LOCALS~1\Temp\winmmbbis.exe
D:\DOCUME~1\gab\LOCALS~1\Temp\34538.exe

Перезагрузите компьютер, после этого удалите AVZ и скачайте заново - он запускается?
16.04.2008, 22:01
GAB

извините,но хочу еще раз повториться...
я удалил системный раздел-Д..установил все заново..после установки НОДа пергрузился-начал запускатьНОД синий экран...т.е. гадость или в НОДе или еще в где то...вот в этом проблема...а файлы ехе я раньше посылал..

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 52 минуты[/I][/B][/color][/size]

поискал и нашел,один в один
[URL]http://virusinfo.info/showthread.php?t=21589[/URL]
так что остается ждать:(
16.04.2008, 22:08
wise-wistful

Вы выполняли рекомендации предложенные [b]kps[/b] в [url=http://virusinfo.info/showpost.php?p=216409&postcount=9]сообщении №9[/url]? Карантина по-крайней мере, который просили Вас загрузить не наблюдается.
16.04.2008, 23:01
GAB

завтра пришлю...сегодня пришлось переустановить систему,но она уже заражена....порекомендуйте что делать?

в сети 50 машин.откуда пришел вирус хз...но на сервере был заражен Консультант,файл ехе я перезаписал......я вот боюсь чт оуже поздно и началась эпидемия,хотя массовых звонков (тьфу-тьфу-тьФУ)ПОКА не было..
22.02.2009, 04:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\virus\\winbxsiac.exe - [B]Trojan-Downloader.Win32.Agent.ncj[/B] (DrWEB: Trojan.Spambot.3146)[*] \\virus\\wincqby.exe - [B]Virus.Win32.Sality.y[/B] (DrWEB: Win32.Sector.5)[*] \\virus\\313b8.exe - [B]Trojan-PSW.Win32.Stealer.l[/B] (DrWEB: BackDoor.FireOn.8)[/LIST][/LIST]