AVZ сразу после запуска закрывается
Printable View
AVZ сразу после запуска закрывается
pleazzzzz
Скачайте [URL="http://depositfiles.com/en/files/5384977"]этот [/URL] AVZ и сделайте логи.
пока ждал ответа, вставил винт в другой комп, cureit сообщил:
ftp34.dll -trojan.downloader.63153
svchost.exe с разными путями - тоже trojan.downloader.63153
разные зараженные exe'шники - win32.sector.5
c:\windows\system32\appmgmtu.exe - win32.sector.5
back.exe.exe - trojan.downloader.62867
ftp34.dll -trojan.downloader.63153
hkcmd.exe - win32.sector.5 - исцелен
iedn534.exe, iedn632.exe и др - trojan.downloader.62867
trojan.downloader.63153
win32.sector.5
trojan.click.19083
backdoor.bulknet.213
winnt64.dll, winnt64.dl_ - trojan.downloader.63655
rundll32.exe - win32.sector.5 - исцелен
kdkvm.exe - trojan.virtumod.based.14
igfxpers.exe - trojan.inject.3477 - исцелен
c:\windows\system32\drivers\mfdt47.sys - trojan.spambot.3201
services.exe - trojan.downloader.63152
svchost.exe - trojan.click.19083
winqv74.sys - trojan.rntm.10
c:\userinit.exe - trojan.downloader.63152
---------------
я боюся
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
вирус на компе размножается заражая exe'шники win32.sector.5 - проверил флэшку, которую туда вставлял
теперь нарушены ассоциации с exe - не запускается hijackthis, но компьютер почти ожил
восстановил ассоциации
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\System32\Drivers\Flr85.sys - force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
DelBHO('{8FC29AE9-7ADE-4457-B488-47177BE1F0FE}');
DelBHO('{1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8}');
QuarantineFile('C:\WINDOWS\system32\uituaacs.dll','');
QuarantineFile('C:\WINDOWS\system32\appmgmtu.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\helloserv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe','');
QuarantineFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\Documents and Settings\Ирина\svchost.exe','');
BC_DeleteSvc('Vbg27');
QuarantineFile('C:\WINDOWS\System32\drivers\Vbg27.sys','');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd85.sys','');
BC_DeleteSvc('msdvdDrv');
QuarantineFile('C:\WINDOWS\system32\msdvdr.sys','');
BC_DeleteSvc('aic32p');
QuarantineFile('C:\WINDOWS\system32\drivers\gsmohn.sys','');
BC_DeleteSvc('Flr85');
BC_DeleteSvc('System Event Browser');
QuarantineFile('C:\WINDOWS\system32\sysbrw32.exe','');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\msdvdr.pif','');
BC_DeleteSvc('msdvdr');
QuarantineFile('C:\Documents and Settings\Ирина\ie_updates3r.exe','');
BC_DeleteSvc('Google Online Services');
QuarantineFile('C:\WINDOWS\system32\Drivers\Flr85.sys','');
QuarantineFile('C:\WINDOWS\system32\mlJApPIB.dll','');
QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll','');
QuarantineFile('c:\temp\60.com','');
DeleteFile('c:\temp\60.com');
DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
DeleteFile('C:\WINDOWS\system32\mlJApPIB.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Flr85.sys');
DeleteFile('C:\Documents and Settings\Ирина\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\msdvdr.pif');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\sysbrw32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys');
DeleteFile('C:\WINDOWS\system32\msdvdr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwd85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Vbg27.sys');
DeleteFile('C:\Documents and Settings\Ирина\svchost.exe');
DeleteFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe');
DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\helloserv.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\appmgmtu.exe');
DeleteFile('C:\WINDOWS\system32\uituaacs.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('WinNt64.dll');
DeleteFile('ddcBRkji.dll');
DeleteFile('sockins32.dll');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
все-равно висит в памяти win32.sector.7
...карантин через 3 мин и заражает файлы win32.sector.5
Куритом с диска проверяли?
да, а он что заражен может быть?
а после курита бесполезно запускать авз и хайджеквис?
сейчас перезагружу тогда компьютер и выполню эти прогаммы.
курит, по ходу, убил файлы в карантине....
------------
...опять выполнить скрипт?
как состояние?
чисто или нет?
:) как насчет ответа сегодня?
...пожалуйста...
:)
вы за убитый карантин обиделись?
я больше не буду
Мы не можем при помощи AVZ, к сожалению, лечить файловые вирусы. Куреит с СД запускали? "Восст. системы" религия отключить не позволяет?
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\appmgmtu.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe','');
DeleteService('Qwd85');
SetServiceStart('Qwd85', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\gsmohn.sys','');
SetServiceStart('aic32p', 4);
DeleteService('aic32p');
QuarantineFile('c:\temp\60.com','');
DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwd85.sys');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\appmgmtu.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
DeleteFile('sockins32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepait(1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин и сделать новые логи.
отключил восстановление системы,
пролечил все куритом с сидишника.
но после курита, все равно какая-то гадость сидит в памяти и всё заражает - начинаешь проверять во второй раз - опять находит зараженные файлы, но в памяти зараженных процессов не видит при этом.
логи:
после этих логов выполню скрипт и после перезагрузки пришлю новые логи
после скрипта:
...карантин пустой...
что-то как-то бесперспективно, блин :(
переставлять винду?
есть кто-нибудь?
!!! помогите пожалуйста !!!
Давай попробуем вот так:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll','');
QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe','');
DeleteService('Winqv74');
QuarantineFile('C:\WINDOWS\system32\Drivers\Qwd85.sys','');
DeleteService('Qwd85');
QuarantineFile('c:\temp\60.com','');
DeleteFile('c:\temp\60.com');
DeleteFile('C:\WINDOWS\system32\Drivers\Qwd85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv74.sys');
DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe');
DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После этого сделай новые логи.
вот...
60.com - это avz, т.к. просто avz не запускается - мне его с virusinfo прислали
---------
сейчас аваста установлю - старого вирусы затравили
начал ставить аваста - комп перегрузился
в IceSword C:\WINDOWS\system32\drivers\gsmohn.sys -- force delete
выпроните скрипрт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{8FC29AE9-7ADE-4457-B488-47177BE1F0FE}');
DelBHO('{1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8}');
BC_DeleteSvc('Qwd85');
BC_DeleteSvc('aic32p');
DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Qwd85.sys');
DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
DeleteFile('C:\WINDOWS\system32\mlJApPIB.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
сейчас сделаю....
....но, извините если я не в тему :)
этот вирус заражает почти ВСЕ exe'шники
и при загрузке Винды всё по идее опять заражается, но я не спец конечно... :(
кстати, там нет такого файла, бл*********** (C:\WINDOWS\system32\drivers\gsmohn.sys)
именно файлового вируса у вас не видно ... (исполняемые файлы не заражаются )
если запускать кюрита - найдет файлов 400 в компе...
...и будет их лечить, а не удалять...
[QUOTE=mic149;242238]если запускать кюрита - найдет файлов 400 в компе...
...и будет их лечить, а не удалять...[/QUOTE]
его лог заархивируйте и прикрепите сюда.
первоначальная, быстрая проверка кюрита....
... запустил полную проверку
полную проверку проведите в safe mode(записав cureit надиск на чистой машине ) ... судя по тому что на шел cureit файловый вирус присутствует ...
safe mode не работает - выбрать можно, но машина начинает загружаться, грузится несколько секунд (там файлы в строчке бегут) и уходит в перегруз... кюрит запускаю с сидирома
попробуйте зайтив safe mode после такого скрипта ...
[code]
begin
ExecuteRepair(10);
RebootWindows(true);
end.
[/code]
блин, жалко уже пробовать - процентов 30 проверки прошло...
...может дождаться конца проверки, отправить лог, выполнить скрипт и попробовать зайти в сэйф моде?
проверил 77000 файлов - 142 вируса
давайте так ... хуже не будет ...
вот
теперь полную проверку в safe mode если ничего не найдет ....
после скрипта загрузиться в сэйф модэ смог.
прогнал кюрита два раза подряд на полной проверке в сэйфе - он всё вылечил на первом проходе, во время второго ничего не нашел.
что делать далее?
логи из сэйфа - еще не перегружался
Дальше: все повторить еще раз в обычном режиме. Долго,нудно, но иначе не получается. Как только в обычном перестанет находить, считай победа.
может почистить что в реестре перед перезагрузкой?
[size="1"][color="#666686"][B][I]Добавлено через 41 минуту[/I][/B][/color][/size]
он ппц неизличимый какой-то:
я еще не перегружал компьютер из сэйфа, кюритом с сидюка проверил тоталкомандер 10 раз - не заражен...
запускаю тоталкомандер - работает 10 сек, говорит, что скорее всего поражен вирусом и закрывается. после этого кюрит опять находит в памяти процесс win32.sector.7, мочит его и на полной проверке опять полезли файлы с win32.sector.5
------------------
пипец не больной ни разу вирус
[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]
есть кто-нибудь?
[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]
Всё. Переинсталл. Бл@
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 15 минут[/I][/B][/color][/size]
На меня забили болт? Я таки не переинсталял винду. Скорее всего я сам заражал систему, запуская тотал. Но не могу понять почему курит говорил, что вылечил тотал, а вирус в нем оставался.
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
P.S.: почему у моей темы появился отстойный красный кулак с пальцем вниз? :(
Потому что ты сказал, что переустанавливаешь систему.
Я не переустановился. Не знаю почему. Просто мазохист наверно. Короче, я в сэйф моде пролечил комп ещё раз куритом, увидел что вирусов нет и загрузился в обычный режим, где курит не нашел в памяти вирусы - я обрадовался и не стал больше запускать тотал командер, в наоборот удалил его. Проверился куритом - он пролечил мне всё что осталось. Вирус в памяти отсутствует, поставил аваста. Завтра логи покажу. Ок? Систему там переустанавливать очень затратно было бы, но и так 3 дня потратил. Ваша помощь очень была кстати. Огромное спасибо.
P.S.: поменяйте, пожалуйста, картинку - ведь не переставил систему.
ждем логи ...
А всё-таки, как такое может быть: запускаешь тотал командер в котором курит не видит вируса, но он знает о существовании такого вируса, и после этого тотал становится зараженным, заразным и заражает всю систему?
вроде всё работает.
Есть ли у меня какие проблемы по логам?