Помогите!

Printable View

14.09.2010, 22:42
Alex_sor

Помогите!

Здравствуйте!
Столкнулся с проблемой:
Во время посещения сайта Playground.ру (MozillaFirefox), выскочило окно с загрузкой сан джава, или ей подобной программы, затем на долю секунды мелькнуло окно cmd, Eset предательски промолчал.
В настоящее время Eset, стоящий в автозагрузке не запускается, не запускаются (и в безопасном режиме) AVZ, Hijack (даже если их переименовать), Cureit запускается в обоих режимах, но при проверке возникает ошибка системы с перезагрузкой, Firefox запускается через 2 раза, антивирусные сайты не пашут. Безопасный режим работает, но так так же ничего не запускается.
Пишу с ноута. Помогите пожалуйста!
14.09.2010, 22:47
olejah

Два варианта -

1. Пробуем [URL="http://www.avptool.ru/"]AVPTool[/URL]

2. Пробуем [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
15.09.2010, 00:03
Alex_sor

Удалось запустить ComboFix!
Прикрепил лог
15.09.2010, 01:22
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\ohybjw.exe
c:\program files\Common Files\jqyrg4inedzz13m
c:\program files\Common Files\e477834caccs.txt
c:\windows\system32\ezsidmv.dat

Driver::

Folder::
c:\program files\Common Files\e477834c
c:\program files\Common Files\e47783a5

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
[-HKLM\~\startupfolder\C:^Documents and Settings^Aleksandr^Главное меню^Программы^Автозагрузка^wwwznv32.exe]

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

ТЕперь AVZ должен запуститься
15.09.2010, 18:59
Alex_sor

Сделал как написано выше, при работе Cobofix выдало запрос на создание консоли восстановления (у меня отключено восстановление системы), я согласился, но так как для этого необходимо интернет соединение, этот шаг она пропустила. На шаге 2 или 3 вылезло сообщение: "исключение неизвестное программное исключение (0xс0000417) в приложении по адресу 0x00482899". В конце работы программа перезагрузила компьютер. Работоспособность АВЗ не проверял, перегрузил в безопасный режим.
Лог приложил. В лог сам сильно не всматривался, видел что то по поводу termsrv. На родной файл постоянно орал NOD32, я его заменил на другой, это было месяца 2 назад и проблем с ним в последствии не испытывал.
16.09.2010, 18:01
Alex_sor

вообще странно, что Nod не сработал, Вот тебе и лицензионное ПО!
16.09.2010, 23:54
thyrex

Проблема решена?
17.09.2010, 11:39
Alex_sor

Всё на этом этапе: "В конце работы программа перезагрузила компьютер. Работоспособность АВЗ не проверял, перегрузил в безопасный режим."
Выключил. Жду рекомендации Хелперов по приложенным логам. Так что пока видимо "В работе".
17.09.2010, 18:17
Alex_sor

Вот свежие логи. Что сделать с архивом virusinfo_cure?
17.09.2010, 18:30
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('cpuz130');
QuarantineFile('C:\WINDOWS\Temp\cpuz130\cpuz_x32.sys','');
QuarantineFile('C:\System Volume Information\_restore{F86F99E6-AA4F-49E0-8ACD-6588556612F5}\RP4\A0025249.exe','');
QuarantineFile('C:\System Volume Information\_restore{F86F99E6-AA4F-49E0-8ACD-6588556612F5}\RP4\A0027487.exe','');
DeleteFile('C:\System Volume Information\_restore{F86F99E6-AA4F-49E0-8ACD-6588556612F5}\RP4\A0027487.exe');
DeleteFile('C:\System Volume Information\_restore{F86F99E6-AA4F-49E0-8ACD-6588556612F5}\RP4\A0025249.exe');
DeleteFile('C:\WINDOWS\Temp\cpuz130\cpuz_x32.sys');
BC_DeleteSvc('cpuz130');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
17.09.2010, 19:23
Alex_sor

Логи
17.09.2010, 19:31
olejah

В логе подозрительного не вижу.
17.09.2010, 20:21
Alex_sor

Вроде все работает! тогда Спасибо!!!
17.09.2010, 20:23
olejah

Рекомендуется -

- Установить [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)

- Поставить все последние обновления системы Windows - [URL="http://www.update.microsoft.com/"]тут[/URL]
18.09.2010, 13:37
thyrex

[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
19.09.2010, 13:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]