Помогите !!! с проблемой lostvolume

Printable View

04.11.2009, 18:25
S1111S

Помогите !!! с проблемой lostvolume

Открыл письмо на яндексе с файлом. После чего такая проблема, в автозагрузке появился lostvolume. Антивирус не открывается, появляется на секунду и все. С браузерами так же.
04.11.2009, 18:36
snifer67

[url]http://virusinfo.info/pravila.html[/url]
04.11.2009, 18:59
S1111S

прошу прощения, присоединил лог. У меня один в один проблема как у этого человека на вашем форуме------------Подцепили какую-то заразу, похоже через письмо, с заголовком "срочно счет в бухгалтерию" когда прикрепленный файл сохранили и стали запускать, NOD32 обнаружил заразу, файл удалили корзину почитили. А после перезагрузки невозможно запустить антивирусную проверку, окно NOD32 открывается на полсекунды и закрывается, также закрываестя AVZ, Cureit, Касперский. Поэтому проверку выполнял в безопасном режиме. -----------

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=snifer67;500720][URL]http://virusinfo.info/pravila.html[/URL][/QUOTE]
прошу прощения, присоединил лог. У меня один в один проблема как у этого человека на вашем форуме------------Подцепили какую-то заразу, похоже через письмо, с заголовком "срочно счет в бухгалтерию" когда прикрепленный файл сохранили и стали запускать, NOD32 обнаружил заразу, файл удалили корзину почитили. А после перезагрузки невозможно запустить антивирусную проверку, окно NOD32 открывается на полсекунды и закрывается, также закрываестя AVZ, Cureit, Касперский. Поэтому проверку выполнял в безопасном режиме. -----------

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[B]snifer67[/B], прислал лог. Посоветуйте как быть
04.11.2009, 19:00
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe','');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится
Файл quarantine.zip пришлите, используя ссылку [B][U][COLOR="Red"]прислать запрошенный карантин [/COLOR][/U][/B]вверху темы

Сдделайте все [U]три[/U] лога заново
04.11.2009, 19:30
S1111S

логи
04.11.2009, 19:36
Никита Соловьев

Три лога - это
[B]virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log[/B]
читайте правлиа.
Обычный AVZ не запускается? Переименовать в abc.pif попробуйте
04.11.2009, 19:43
S1111S

[B]Venus Doom[/B], ситуация вкратце: два компа - ноутбук(с проблемой) и просто комп. На ноутбуке, снес антивирь esset 32, час назад, он выдавал ошибку про ядро и не запускался. Из-за этого lostvolume, не могу запустить AVZ с обновлениями, поэтому запускаю special_AVZ скачанное по ссылке в похожей теме. Но на нем не обновляются базы!!! Поэтому quarantine.zip, и логи сделанны этой special версией.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[B]Venus Doom[/B], ссори, прочел правила, качаю две проги, сейчас пришлю еще два лога, abc.pif так же не запускается.
04.11.2009, 19:45
Никита Соловьев

[QUOTE]Но на нем не обновляются базы!!![/QUOTE]Не нем и не должны обновляться
[QUOTE]abc.pif так же не запускается.[/QUOTE]Используйте special, приложите два недостающих лога

Карантин получен:
lostvolume.exe - [B]Trojan-Dropper.Win32.Clons.bjh[/B]
04.11.2009, 19:53
S1111S

[B]Venus Doom[/B], уточнение, два не достающих лога---это в стандартных скриптах 1,2,3,4,5,или 6 скрипт??
04.11.2009, 19:54
Никита Соловьев

3 стандартный скрипт и лог программы hijackthis
04.11.2009, 20:11
S1111S

2,3 лог
04.11.2009, 20:16
S1111S

[B]Venus Doom[/B], 2 и 3 лог.
04.11.2009, 20:22
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
QuarantineFile('C:\Program Files\Services\mservice.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Файл quarantine.zip пришлите, используя ссылку [B][U][COLOR="Red"]прислать запрошенный карантин [/COLOR][/U][/B]вверху темы
04.11.2009, 20:50
S1111S

[B]Venus Doom[/B], Прошу прощения, вы получили карантин? я отослал.
04.11.2009, 20:59
Никита Соловьев

Да

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
DeleteFile('C:\Program Files\Services\mservice.exe');
DeleteFileMask('C:\Program Files\Services','*.*',true);
DeleteDirectory('C:\Program Files\Services');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','mfdrivers');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Пробуйте запустить обычный AVZ и сделайте новые логи
04.11.2009, 21:30
S1111S

[B]Venus Doom[/B],обычный AVZ не грузится, lostvolume висит по прежнему в автозагрузке, сделал новые логи со старой special_AVZ. Может попробовать обычный AVZ в безопасном режиме??
04.11.2009, 21:41
S1111S

[B]Venus Doom[/B], в трэе ноута висят значки модема, интел(R) (грфика), sound effect, они не мешают работе AVZ??
04.11.2009, 21:44
Никита Соловьев

Нет, скажите, Вы скрипт в сообщении 15 точно выполняли?
04.11.2009, 21:49
S1111S

точно, могу повторить, я логи с ноута на флешку копировал с заменой, может в этом что не так??
04.11.2009, 21:51
Никита Соловьев

Выполните скрипт из сообщения 15 еще раз, сделайте новые логи
04.11.2009, 22:06
S1111S

повторил указания 15-го сообщения.....с обычным AVZ такая история...появляется окно на 2 секунды и сворачивается. Но сейчас я успел каким-то чудом нажать на выполнение скрипта №2 и он его в свернутом режиме выполнил, перезагрузил ноут, ......включил обычный обновленный AVZ, опять успел до сворачивания .... выполняю скрипт№3, посмотрел lostvolume висит((шлю повторно три лога, но выполнены они в обычном AVZ.
04.11.2009, 22:15
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
CreateQurantineArchive(GetAVZDirectory+'susp.zip');
RebootWindows(true);
end.
[/code]
Файл susp.zip пришлите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B]
04.11.2009, 22:29
S1111S

[B]Venus Doom[/B], делал все по схеме---успел-нажал, через обычный AVZ. Файл susp.zip отослал.
04.11.2009, 22:34
Никита Соловьев

Подождем анализа файлов
04.11.2009, 22:44
S1111S

[B]Venus Doom[/B], насколько долго ждать, дружище??? Вопрос такой еще...по запросу в яндексе вируса Trojan-Dropper.Win32.Clons.bjh выдает лабораторию каспера --новые вирусы. Может попробовать скачать пробную версию каспера 10 и попытаться снести этот вирус??? Как думаете есть смысл?? Ноут завтра нужен.....живой и здоровый((
04.11.2009, 22:50
Никита Соловьев

Подождите пока
04.11.2009, 23:04
S1111S

[B]Venus Doom[/B], ок)кстати, может вам пригодиться, зараза скорее всего пришла от Ортман лариса, тема письма -- Fwd: Сверка, акты и счет на оплату. и вложенный файл (и я повелся) ...файл то явно ехе-шный, весит 2 мб.
04.11.2009, 23:08
Никита Соловьев

Ящик не нужно публиковать
04.11.2009, 23:11
S1111S

ок
04.11.2009, 23:16
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\program files\fontsys.fon');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
DeleteFile('C:\Program Files\Services\mservice.exe');
DeleteFileMask('C:\Program Files\Services','*.*',true);
DeleteDirectory('C:\Program Files\Services');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи
04.11.2009, 23:40
S1111S

[B]Venus Doom[/B], шлю логи, пока та же картина.
05.11.2009, 00:38
миднайт

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.

В HiJackThis пофиксите:

[code]
O4 - Startup: lostvolume.exe
[/code]

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('fontsys.fon');
QuarantineFile('C:\Program Files\dwFlags\RDPDD Chained DD.exe','');
QuarantineFile('C:\Program Files\fontsys.fon','');
QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe','');
QuarantineFile('C:\Program Files\Services\mservice.exe','');
DeleteFile('C:\Program Files\Services\mservice.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mfdrivers');
DeleteFile('C:\Program Files\fontsys.fon');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
DeleteFile('C:\Program Files\dwFlags\RDPDD Chained DD.exe');
DeleteFileMask('C:\Program Files\Services','*.*',true);
DeleteDirectory('C:\Program Files\Services');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RDPDD Chained DD');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
BC_DeleteFile('C:\Program Files\Services\mservice.exe');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'new-quarantine.zip');
end.
[/code]

Файл карантина new-quarantine.zip пришли по ссылке вверху темы. Сделайте новые логи. отпишитесь о состоянии машины.
05.11.2009, 00:40
thyrex

+ к [B]миднайт[/B]

Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
05.11.2009, 00:55
S1111S

[B]миднайт[/B], Уважаемые, Миднайт и Venus Doom !
Благодарю за помощь и участие, но сейчас такая картина: долго ждал ответа на последнюю отправку логов, в результате скачал касперского 10 пробного (посколько поиск выдал знакомство его с данной заразой) после быстрой проверки он поудалял 6 троянов, в том числе убрал из автозагрузки lostvolume!!! из програм файл - фонтсизе, сервис, флаг и еще чего-то. Хочу просканировать комп полностью. Время позднее, завтра на работу, если проблема не решится завтра поднему эту тему, с вашего позволения еще раз. Пока вроде каспер работает, интернет работает, браузер работает, документы работают, единственная оставшееся от этой заразы -- проблема не открывается msconfig....
06.11.2009, 00:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\user\главное меню\программы\автозагрузка\lostvolume.exe - [B]Trojan-Dropper.Win32.Clons.bjh[/B] ( DrWEB: Trojan.MulDrop.32194, AVAST4: Win32:Malware-gen )[*] c:\program files\fontsys.fon - [B]HackTool.Win32.Hidd.cc[/B] ( DrWEB: Trojan.MulDrop.31992, BitDefender: Trojan.Generic.2136392, NOD32: Win32/Delf.OKV trojan, AVAST4: Win32:Induc )[*] c:\program files\services\mservice.exe - [B]Trojan-Dropper.Win32.Clons.bjh[/B] ( DrWEB: Trojan.MulDrop.32194, AVAST4: Win32:Malware-gen )[/LIST][/LIST]