Printable View
Здравствуйте!
Столкнулся с проблемой NOD32 постоянно выдает окно об обнаружении вот этой "Win32/Patched.ER" дряни. При сканировании с последними базами находит кучу вирусов и троянов. С компом проблем особых нет, работает стабильно, не тормозит, но привыключении выдает сообщение о том, что "Превышен размер выделеного места для хранения профиля" отключаю процесс proquota.exe выключается сразу.
Пофиксить в HiJack
[code] F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\explore.exe"
F2 - REG:system.ini: UserInit=userinit.exe,c:\windows\system32\sdra64.exe,
[/code]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
QuarantineFile('digeste.dll','');
QuarantineFile('c:\windows\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lbq85.sys','');
DeleteService('Lbq85');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
TerminateProcessByName('c:\windows\system32\explore.exe');
QuarantineFile('c:\windows\system32\explore.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LEBG9QB\explore[1].exe','');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LEBG9QB\explore[1].exe');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
DeleteFile('c:\windows\system32\explore.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\Lbq85.sys');
DeleteFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('c:\windows\system32\sdra64.exe');
DeleteFile('digeste.dll');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll.bak','');
DeleteFile('C:\WINDOWS\system32\sfcfiles.dll.bak');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
ExecuteRepair(16);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Обновить базы AVZ[/B]
Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
090720_120302_virus_4a6424b631c77.zip это карантин
Лог gmer после нажатия на [B]Scan[/B]?
да
В логах ничего подозрительного. Что с проблемой?
Стал сканировать NOD32 и нашел такого зловреда C:\\Windows\System32\config\Systemprofile\Local Setting\Temporary internet Files\Content.ie5\8LEBG9QB\explore[2].exe
Продолжайте проверку. Этого файла в логах не было
[QUOTE='thyrex;434600']Продолжайте проверку.[/QUOTE] Что Вы имеете ввиду? NOD32 полность просканировал весь винт, чем проверять?
А, ну тогда все
Можно еще и [URL="http://virusinfo.info/showthread.php?t=10025"]такую операцию[/URL] проделать
хорошо попробую! Большое спасибо за помощь:clapping:
И снова здавствуйте!
Боюсь, что проблема не решена. Ситуация следующая. После загрузки обновлений комп перезагрузился и выдал ошибку lsass.exe "Не достаточно системных ресурсов для завершения API" решил скопировать с рабочей машины этот самый lsass.exe. заодно стал сканировать AVZ при этом мой бесплатный антивирус (Avira Antivir personal) начал ругаться на наличие вирусов в папке WINDOWS в подключеном харде так же сам AVZ нашел два файла: H:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0DQBSDYN\mss9[1].exe >>>>> Trojan-Downloader.Win32.Agent.cisb успешно удален
H:\WINDOWS\Temp\rdl3463.tmp.exe >>>>> Trojan-Downloader.Win32.Agent.cisb успешно удален
Система не хочет грузиться ни в каком из режимов. Не знаю что делать
Лечили систему на диске C. Откуда взялась система на диске H ????
Так я и говорю, что присоединил хард с зараженого компа на другой и сканировал Avira и AVZ именно этот зараженный хард. в итоге на указанном ж/д и нашлись те вирусы которые я описал в предидущем посте:)
[QUOTE=TU-134;435920]"Не достаточно системных ресурсов для завершения API"
Система не хочет грузиться ни в каком из режимов. Не знаю что делать[/QUOTE]Посмотрите тут: [url]http://support.microsoft.com/kb/909095/ru[/url]
[QUOTE='Rene-gad;436109']Посмотрите тут: [url]http://support.microsoft.com/kb/909095/ru[/url] [/QUOTE] не совсем мой вариант! я не могу загрузиться в виндовс
Попробуйте это
Загрузитесь с виндовского LiveCD или же подключите жесткий диск с больной системой к другому ком-пьютеру. Но ничего не запускайте на подключенном диске!
Проверьте наличие файлика [b]userinit.exe[/b] в папке [b]windows\system32[/b].
Далее
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите [b]Open[/b] (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
5. Посмотрите [b]Microsoft\Windows NT\Winlogon[/b] (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой [b]C:\WINDOWS\system32\userinit.exe,[/b] (с запятой)
6. Не забудьте выгрузить куст
[QUOTE='thyrex;436527']5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)[/QUOTE] этим я и занимался. изменений в реестре на момент проверки не было. после этого комп загрузился в обычный режим я стал проверять CCcleaner им же нашел кучу непонятных параметров в реестре с какими-то файлами все ключи удалил, щас сканирую CureIT. еще в реестре есть строка(параметр: VmApplet значение:rundll32 shell32,Control_RunDLL "sysdm.cpl" ) по адресу HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon она нормальная? т.к. на этот файл sysdm.cpl в ходе лечения ругался какой-то антивирь. CureIT ничего не нашел:(
и логи заодно!
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('\DOCUME~1\Kulemina\LOCALS~1\Temp\RarSFX0\llrks.exe');
QuarantineFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\RarSFX0\llrks.exe','');
DeleteFile('C:\DOCUME~1\Kulemina\LOCALS~1\Temp\RarSFX0\llrks.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
вот они!