Снова-здорова(((

Printable View

11.09.2010, 12:42
alpauk

Снова-здорова(((

Только что вылечился вроде от напасти - новая накатила((
Картина такая: Мозилла виснет почти сразу, IE открывается в покоцанном виде. Пусковая панель блокируется сразу после попытки запуска браузера. Данные в трее не обновляются, даже часы, переключение раскладки не работате. explorer.exe виснет, внешний носитель подключить не могу. Диспетчер процессов через ctrl-alt-del недоступен. AVZ и HijackIt схлопываются сразу после запуска, при запуске ComboFix комп вылетает в BSOD.
Есть подозрение на ransomware, что-то похожее отрапортовал экран Avast! и сделал вид, что со страшной силой победил. Теперь я гол и бос, и будущее видится мне как через мутное стекло(((( пишу, разумеется, с другой машины)
11.09.2010, 13:18
olejah

Попробуйте сделать лог [URL="http://www.avptool.ru/"]AVP Tool[/URL]
11.09.2010, 13:25
alpauk

[B]Olejah[/B], хм... ее еще как-то скачать надо... Хотя вроде пошло дело.
11.09.2010, 13:26
olejah

[QUOTE='alpauk;704674'] пишу, разумеется, с другой машины)[/QUOTE] С другой машины и скачайте.
11.09.2010, 13:38
alpauk

[QUOTE=Olejah;704683]С другой машины и скачайте.[/QUOTE]
Скачать получилось и с той. По-моему, щас будет лог.
11.09.2010, 13:40
alpauk

[QUOTE=Olejah;704683]С другой машины и скачайте.[/QUOTE]
Вот лог.
11.09.2010, 13:41
alpauk

Кстати, вошел сюда с больной машины. вдруг. и пусковая работает.
11.09.2010, 13:50
olejah

Выполните скрипт в AVP Tool [B]в безопасном режиме[/B] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monmvr32.exe','');
QuarantineFile('C:\windows\system32\bisoaz.exe','');
QuarantineFile('C:\windows\system32\ac8efa71.exe','');
DeleteFile('C:\windows\system32\ac8efa71.exe');
DeleteFile('C:\windows\system32\bisoaz.exe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monmvr32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/CODE]

- Попробуйте пройтись АВЗ
11.09.2010, 13:54
alpauk

[QUOTE=Olejah;704697]Выполните скрипт в AVP Tool [B]в безопасном режиме[/B] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monmvr32.exe','');
QuarantineFile('C:\windows\system32\bisoaz.exe','');
QuarantineFile('C:\windows\system32\ac8efa71.exe','');
DeleteFile('C:\windows\system32\ac8efa71.exe');
DeleteFile('C:\windows\system32\bisoaz.exe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monmvr32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/CODE] - Попробуйте пройтись АВЗ[/QUOTE]

А как? я не нашел какой-то конкретной оболочки. Лог делал из файла log.bat
11.09.2010, 13:58
olejah

Вкладка Ручное лечение и там 3-ий пункт.
11.09.2010, 17:32
alpauk

[QUOTE=Olejah;704702]Вкладка Ручное лечение и там Выполнить скрипт, если память не изменяет.[/QUOTE]
Программа отдельным интерфейсом не запускается( или при установке зараза ее косит, или что-то еще. Впрочем, заработал даже ctrl-alt-del. но не AVZ... рискну перезагрузить)

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 31 минуту[/I][/B][/color][/size]

[QUOTE=alpauk;704703]Программа отдельным интерфейсом не запускается( или при установке зараза ее косит, или что-то еще. Впрочем, заработал даже ctrl-alt-del. но не AVZ... рискну перезагрузить)[/QUOTE]

к тому же все проблемы на больной машине вернулись(
12.09.2010, 19:07
alpauk

От безысходности запустил DrWeb-овский сканер с live CD, он работает уже часов 6. Это нормально? два харда по 500 гБ
13.09.2010, 08:59
alpauk

Сканер Dr.Web про работал почти сутки, нашел 27 зараженных файлов и несколько hacktools. Я не понял, сделал ли он что-то с ними.. машина грузится через раз. выдает "инструкция по адресу"0x7c810fa3" обратилась к памяти по адресу "0x12345ac5". Память не может быть "read", после чего валится explorer.exe, и виден пустой рабочий стол. после перезагрузки FF не запускается, просит закрыть не отвечающий процесс FF или просит отослать краш-репорт. Вслед за чем виснет пусковая панель, диспетчер процессов недоступен.
I need help((((
13.09.2010, 14:30
polword

- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [COLOR="Blue"][B]log.txt[/B][/COLOR] и [COLOR="Blue"][B]info.txt[/B][/COLOR]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
13.09.2010, 22:52
alpauk

[QUOTE=polword;705394]- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [COLOR=Blue][B]log.txt[/B][/COLOR] и [COLOR=Blue][B]info.txt[/B][/COLOR]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.[/QUOTE]

RSIT злобно блокируется, как и AVZ и CF((( можно ли его запустить из ком.строки из-под LiveCD?
14.09.2010, 21:36
alpauk

Не, не выходит ни черта(((