File Downloader - BSOD

Printable View

23.12.2009, 04:39
Ddscreamed

File Downloader - BSOD

Добрый день, поймал вирус File Downloader, запустил по инструкции файл get2.exe, окошко исчезло, работает ли интернет, проверить не могу, потому что система грузится только в безопасном режиме.
Обычный режим и безопасный с поддержкой сетевых драйверов вызывают появление BSOD, а после установки GET2 и сам безопасный режим выдавал синий экран,запустился с третьей попытки. Логи прилагаются.
23.12.2009, 08:20
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('E:\yxvAsW.exe','');
QuarantineFile('E:\yxVAsw.ExE','');
QuarantineFile('C:\WINDOWS.0\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS.0\system32\csrcs.exe');
DeleteFile('E:\yxVAsw.ExE');
DeleteFile('E:\yxvAsW.exe');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
23.12.2009, 10:47
PavelA

профиксить:
[CODE]F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,[/CODE]
23.12.2009, 17:55
Ddscreamed

Всё выполнил, однако синий экран всё появляется. в обычный режим никак не входит, в безопасный с 4й попытки. Карантин отправил,логи приложил.
24.12.2009, 00:42
thyrex

Лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL] сделайте
24.12.2009, 03:26
Ddscreamed

сделал:)
24.12.2009, 06:04
Ddscreamed

по наводке удалил файл SPTD.SYS и система стала загружаться, сделал в обычном режиме логи, проверьте, пожалуйста.
24.12.2009, 08:40
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\innounp.exe','');
QuarantineFile('C:\WINDOWS.0\system32\myokent.dll','');
QuarantineFile('C:\WINDOWS.0\0\system32\drivers\TDI.SYS','');
QuarantineFile('c:\windows.0\temp\xrxtfhxnmd.tmp','');
TerminateProcessByName('c:\windows.0\temp\xrxtfhxnmd.tmp');
DeleteFile('c:\windows.0\temp\xrxtfhxnmd.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url]

Сделайте новые логи.
24.12.2009, 23:07
thyrex

+ к [B]snifer67[/B]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится vdkxn3ie.exe (gmer)
[CODE]vdkxn3ie.exe -del service vjlhn
vdkxn3ie.exe -del file "C:\WINDOWS.0\system32\rjajq.dll"
vdkxn3ie.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vjlhn"
vdkxn3ie.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vjlhn"
vdkxn3ie.exe -reboot
[/CODE]И запустите cleanup.bat
Компьютер перезагрузится!

Сделайте новый лог gmer
06.01.2010, 19:39
Ddscreamed

Пока пытался побороть имеющуюся проблему, товарищ схватил мне на комп новый вирус. Проблема такая же, оформление окошка вируса другое и при запуске любого EXEшника, система либо перезагружается,либо перезагружается explorer. Что теперь делать?
07.01.2010, 09:52
pig

Какой код на какой номер для активации чего?
08.01.2010, 15:56
Ddscreamed

Сорри,что сразу не написал: " лицензионное соглашение программного продукта Download Master" со счетчиком на три часа и СМС с кодом К704413100 на номер 4460.
08.01.2010, 17:36
thyrex

1. Скачайте утилиту во вложении и запустите. Компьютер перезагрузится

2. Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению
09.01.2010, 22:14
Ddscreamed

[B]thyrex[/B], не помогает, не дает запустить ехе'шник, сразу выпрыгивает окошко вируса, а любые попытки запуска программ только открывают новые окна, которых не видно. В том смысле,что внизу они есть - ярлыки открытых программ без названий, Alt+Tab не работает, окон как таковых нету.
10.01.2010, 22:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows.0\system32\csrcs.exe - [B]Worm.Win32.AutoIt.tc[/B] ( DrWEB: Win32.HLLW.Autohit.10972, BitDefender: Gen:Trojan.Heur.AutoIT.Pq3@baswKUpO )[*] e:\autorun.inf - [B]Trojan.Win32.AutoRun.su[/B] ( BitDefender: Trojan.AutorunINF.Gen )[*] e:\yxvasw.exe - [B]Worm.Win32.AutoIt.tc[/B] ( DrWEB: Win32.HLLW.Autohit.10972, BitDefender: Gen:Trojan.Heur.AutoIT.Pq3@baswKUpO )[/LIST][/LIST]