Не могу сделать скан.. ВИрус- помогите

Printable View

19.06.2010, 17:14
Brakses

Не могу сделать скан.. ВИрус- помогите

Здравствуйте... Проблемма.
Не могу запустить avz или вообще любой exe... Пишет что данное приложение не является приложением win32... Не запускаются именно антивирусняки... Что сделать*
19.06.2010, 17:32
ARMA9000

Попробуйте авз из моей подписи.
19.06.2010, 18:42
Brakses

Не заходит на тебя... НЕвозможно отобразить страницу.... Но у меня не запускается не только avz, но HijackThisInstaller.exe
И мой антивирь (др. веб). Тоже не запускается... А все остальное - типо винампа и тд... Все запускается...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 6 минут[/I][/B][/color][/size]

Не разобрался я как вылечить по кашмарскому эту заразу Trojan-Downloader.Win32.Bagle.dmi.
А в личку писать уже не могу. Лимит 5 сообщение... Есть еще варианты борьбы?
19.06.2010, 18:49
ARMA9000

Если есть возможность, то нужно скачать LiveCD и записать на диск или флешку.
[url]http://virusinfo.info/showpost.php?p=648638&postcount=5[/url]
19.06.2010, 18:58
Brakses

странно. Но все ссылки (на этом форуме) у меня не открываются... Я уже давно не мог зайти к вам на форум. Думал, что форум убрали. Только через такое начало [url]http://216.246.91.178/[/url] удалось сюда зайти... Ссылка не открывается=(
19.06.2010, 19:39
AndreyKa

А так? [url]http://216.246.90.119/showpost.php?p=648638&postcount=5[/url]
19.06.2010, 23:24
Brakses

Все равно нет=(... не заходит...
Кароче... Я сдела скан через кашмарского (сд)... Антивирь зупстился. Но походу вирус что-то поудалял в нем и он не обновляется. Ну да ладно...
Появился звук. Но по прежднему ничего не хочет запускаться - пишет что не есть приложение вин 32.
Полимофорный авз не запускается. НО не пишет что не есть приложение вин 32. Просто запускается (моргнет) и пропадает....
Есть ли еще версии как помоч?

Кароче=))) Интересно... Он не заходит в безопасный режим... За то без тормозов работает в обычном режиме... Норм качает с инета... Слушается музыка... Запускаются программы. Но авз и хаджаб не хотят. + когда я устанавливаю др веба он на стадии (запуск служб) пишет, что не может запустить службы. Мол нету доступа... Зайдите администратором и тд...
19.06.2010, 23:42
Brakses

Кароче... Я смог сделал лог через прогу Autorun Manager OSAM
20.06.2010, 00:04
Brakses

Может что-то еще можно сделать. Я сегодня весь день от компа не отхожу... уже начинаю отчаяваться.
20.06.2010, 00:23
AndreyKa

Отключите
Drivers:
"azuzoowd" (azuzoowd)
"sK9Ou0s" (sK9Ou0s)
"srosa" (srosa)
Logon:
"drvsyskit"

Нажмите [B]Apply[/B], перезагрузите компьютер. Попробуйте сделать логи по [url=http://virusinfo.info/pravila.html]Правилам[/url].
20.06.2010, 00:38
Brakses

=(((((((((((
Отключил все что нашел... Все равно авз не запускается. Хаджак появляется(маргнет) и пропадает. Причем при запуске авз впервый раз при загрузке - он написал, что файл занят другой программой.

Переделал логи через ОСАм...
Посмотрите еще раз. Может еще что-то надо отключить?
20.06.2010, 00:55
Brakses

У меня все началось вот с этого файла кстати :http:ifolder.ru/18228338
20.06.2010, 01:00
AndreyKa

Отключите
Drivers:
"aex96hxm" (aex96hxm)
"aex96hxm" (aex96hxm)
"srosa" (srosa)
Logon:
"drvsyskit"
"mule_st_key"
20.06.2010, 01:12
Brakses

Не помогло=(((((
Андрейка. Может тот файл, на который я дал ссылку посмотреть? может там что-то выяснится. Просто я фиксю, а оно новое появляется не профиксенное.=(
Вкладываю на всяк случай новые логи.
20.06.2010, 09:18
Brakses

Я тут обратился на форум кашмарского. Они с таким случаем еще не сталкивались=( Ребят... Если там реально уже ничего не сделать -скажите. Я хоть буду настраиваться на переустановку винды... Т.к. переустановка - это недели 2 работы=(
Спасибо что вообще возитесь... А то я наверное уже всех тут достал=(

[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]

Я пошел спать... Спасибо кто был сегодня сомной... А то было ощущение, что я был заброшен в тыл к Немцам во время ВОВ и никого рядом...
Я очень надеюсь, что еще кто-нибудь посмотрит и... может найдет решение моей проблеммы...
Всем СН.

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 24 минуты[/I][/B][/color][/size]

Всем доброе утро.... Мне посоветовали выполнить вот такой скрипт. Но как его выполнить без АВЗ хрен знает... Может есть какая-нибудь альтернатива АВЗ, что бы просто тупо выполнить скрипт?

[QUOTE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
[/QUOTE]
20.06.2010, 10:20
AndreyKa

[QUOTE='Brakses;657591']Андрейка. Может тот файл, на который я дал ссылку посмотреть?[/QUOTE]Посмотрел. Вылечить компьютер из заражённой системы действительно очень тяжело.
Найдите какой-нибудь загрузочный CD диск. Загрузите с него компьютер и переместите в укромное место папки[code]
\Documents and Settings\Toster\Application Data\drivers
\Documents and Settings\Toster\Application Data\m[/code]
и файлы:[code]
\WINDOWS\system32\drivers\a1nb5ab1.sys
\WINDOWS\system32\wfsintwq.sys
\WINDOWS\system32\srosa2.sys
[/code]
Затем загрузите компьютер нормально и сделайте логи по [url=http://virusinfo.info/pravila.html]Правилам[/url].
20.06.2010, 11:03
Brakses

Есть хорошая новость=) Файлы все переместил и они вроде как не возобновились. Но так же и плохая новость. По прежднему АВЗ не запускается. А в логах ОСАМ по прежднму это сроса присутствует=(
вкладываю логи поновой....=(((( Блииин как это достало....
20.06.2010, 11:35
AndreyKa

А папки переместили?
Если да, то проверьте компьютер этим - [url]http://www.freedrweb.com/livecd[/url]
20.06.2010, 12:00
Brakses

Да переместил=(
Все файлы снова посоздавались.
[B]AndreyKa[/B], Я с радостью делаю все инструкции. Но как я выше уже говорил. Я по какой-то причине не могу зайти на сайт др.веба и даже на ваш форум я зашел не понятно как. И еще одна странность. Вот создать тему могу. Читать другие могу. Но прочитать раздел ("Правила! Читать перед запросом о помощи! ") и другие разделы с различными инструкциями - не получается.

Прошу, пожалуйста. Выложите для меня эту утилитку на какой-нибудь ифолдер или другой файлообменник.
Я так понял из этого надо записать диск и с него загрузиться и провериться да?
20.06.2010, 12:36
Brakses

ЕСТЬ!!!
Я отключил даемон тулс.
и запустился хаджак. Но авз не запускается=(!
20.06.2010, 13:06
Brakses

Меня аж прошибает пот.=))
Кароче скачал полимофорный АВЗ - запустился!
Делаю скан.
Забыл какие скрипты делать надо? Прочитать правила не могу - не открывается страница...
Делаю № 2, 3
сбора ифнормации.........
скрипт лечения/карантина

Надеюсь это все...
Скоро выложу.
Спасибо что боролись сомной до последнего=) Теперь я уже уверен - осталось чуть чуть.
20.06.2010, 13:19
Brakses

Готово!!!!!!!!
ЕЕЕЕЕЕЕЕСССССС=)
Посмотрите пожалуйста!
20.06.2010, 13:30
ARMA9000

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Toster\LOCALS~1\Temp\espC2B8.tmp','');
QuarantineFile('E:\Music\Mp3 list.m3u','');
QuarantineFile('D:\ARXIV\System\pvk12\ПВК 1.2.EXE','');
QuarantineFile('C:\System Volume Information\_restore{62983D82-14C6-447D-90F1-C79C1E993B4D}\RP79\A0028932.com: Sports Jobs 1.1.0.0..czip:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{62983D82-14C6-447D-90F1-C79C1E993B4D}\RP78\A0026375.com: Job Board 1.0.0.0.czip:$DATA','');
QuarantineFile('C:\Documents and Settings\Toster\Local Settings\Temporary Internet Files\Content.IE5\UM4689HT\index[4].htm','');
DeleteFile('C:\System Volume Information\_restore{62983D82-14C6-447D-90F1-C79C1E993B4D}\RP78\A0026375.com: Job Board 1.0.0.0.czip:$DATA');
DeleteFile('C:\System Volume Information\_restore{62983D82-14C6-447D-90F1-C79C1E993B4D}\RP79\A0028932.com: Sports Jobs 1.1.0.0..czip:$DATA');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW',3,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить согласно правилам. Логи переделать.
20.06.2010, 13:44
thyrex

[B]Brakses[/B], где будете продолжать? Здесь ли [URL="http://forum.kaspersky.com/index.php?showtopic=174366"]здесь[/URL]???
20.06.2010, 14:05
Brakses

Давайте уже здесь...

Сделал логи. Отправил карантин.
Посмотрите плиз!
20.06.2010, 14:16
thyrex

Ваше право. Тогда сделайте то, что не выполнили на оффоруме
[url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
20.06.2010, 14:42
Brakses

Готово!
Сделал.
20.06.2010, 15:18
thyrex

Что сейчас с проблемой?
20.06.2010, 15:42
Brakses

Вроде не заметна проблемма. Старые антивирусные файлы не пашут. А новые (скачанные) вроде работают. Вот щас ставлю др. веба...
Но в целях профилактики, посомтрите - ничего не осталось?

Но на сайт д.р. веба по прежднему не заходит. И на этом форуме по прежднему не заходит в разделы типо "Правила, читать..."

Да вот еще..
при загрузке компа. появляется на секунды меню выбора между какой-то консолью и вин хп. Это появилось после комбофикс...
ТАк и должно оставаться. Или как-нибудь ее можно убрать?

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

Поставил д.р. веба. И я смог зайти на сайт. Все проблемма решена!
ВСЕм огромное спасибо!

Только вот скажите, как при запуске, - меню выбора операционной системы, между консолем и вин хп убрать.
=))) УРААА.
ЕХУУУ=)
20.06.2010, 15:55
thyrex

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Пофиксите в HiJack
[CODE]O2 - BHO: (no name) - {0e6d7a5d-b560-4d1c-9713-18dd1ade6011} - (no file)[/CODE]Больше плохого не видно

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
20.06.2010, 16:13
Brakses

Хорошо! Большое спасибо!!!
Вирус излечен!=)

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Кароче. Все сделал по инструкции, но консоль по прежднему появляется в начале ровно на 1 секунду...
Написал в командной строке юниинстал, и скачал прогу и нажал очистить.
Консоль осталась...
Есть еще варианты как ее убрать?
20.06.2010, 16:27
thyrex

Отредактировать [B]boot.ini[/B], убрав
[QUOTE]c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons[/QUOTE]
20.06.2010, 17:06
Brakses

Спасибо!!!
21.06.2010, 17:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\_restore{62983d82-14c6-447d-90f1-c79c1e993b4d}\rp78\a0026375.com: job board 1.0.0.0.czip:$data - [B]Trojan-Downloader.Win32.Bagle.dmi[/B] ( DrWEB: Trojan.Siggen.64364, BitDefender: MemScan:Win32.Worm.Bagle.ZPA, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{62983d82-14c6-447d-90f1-c79c1e993b4d}\rp79\a0028932.com: sports jobs 1.1.0.0..czip:$data - [B]Trojan-Downloader.Win32.Bagle.dmi[/B] ( DrWEB: Trojan.Siggen.64364, BitDefender: MemScan:Win32.Worm.Bagle.ZPA, AVAST4: Win32:Malware-gen )[/LIST][/LIST]