Система в коме

Printable View

Показывать 40 сообщений этой темы на одной странице

15.09.2010, 22:14
alpauk

Система в коме

Прошлая тема была создана не вполне вовремя, и все быстро становилось хуже. Интерес к ней иссяк( С вашего позволения, я все же попробую еще раз.
На руках ХР sp2, пострадала от зловредской страницы, Avast ее отловил, отрапортовал, но не помог. На данный момент не работает ни один браузер, ни AVZ, ни RSIT, ни Hijack. Виснет пусковая панель, блокирована комбинация ctrl - alt - del. CureIt не помог, ничего не видит.
Есть ли какая-то возможность не сносить систему, реанимировать ее? Помогите, пожалуйста!
15.09.2010, 22:18
Никита Соловьев

Сделайте лог [URL=http://virusinfo.info/showthread.php?t=58309]ComboFix[/URL]
16.09.2010, 00:24
alpauk

[QUOTE=Venus Doom;706734]Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL][/QUOTE]

при запуске ComboFix система уходит в BSOD(((
16.09.2010, 00:27
Никита Соловьев

Боже, что Вы творите с системой...
Пробовали проверять с помощью Live CD?
16.09.2010, 00:37
alpauk

[QUOTE=Venus Doom;706818]Боже, что Вы творите с системой...
Пробовали проверять с помощью Live CD?[/QUOTE]

Ну... Как бы не совсем я...
Проверил LiveCD Касперского - никаких нареканий.
LiveCD DrWeb'a шуршал сутки без малого, заявил, что нашел несколько зараженных файлов, но, по-моему, не стал с ними ничего делать.
16.09.2010, 00:41
Никита Соловьев

AVPTool тоже не получается запустить?
16.09.2010, 00:47
alpauk

[B]Venus Doom[/B], его, похоже, не удалось правильно поставить - общей оболочки нет, как его запустить - непонятно.
16.09.2010, 00:48
Никита Соловьев

В папке, куда он установился, должен быть ярлык для запуска
16.09.2010, 00:50
alpauk

[QUOTE=Venus Doom;706828]В папке, куда он установился, должен быть ярлык для запуска[/QUOTE]

Стало быть, либо он указывает не туда, либо заблокирован так же.
16.09.2010, 00:58
Никита Соловьев

Переустановить попробуйте
16.09.2010, 01:18
alpauk

[QUOTE=Venus Doom;706836]Переустановить попробуйте[/QUOTE]
Он мне и проводником-то пользоваться не дает толком...
16.09.2010, 11:39
thyrex

В безопасном режиме лог ComboFix тоже невозможно сделать?
16.09.2010, 19:19
alpauk

[B]thyrex[/B], в безопасном режиме загрузки виндов? или как?
16.09.2010, 21:55
Никита Соловьев

[B]alpauk[/B], Да
16.09.2010, 23:52
alpauk

[QUOTE=Venus Doom;707301][B]alpauk[/B], Да[/QUOTE]

вот, получилось что-то. там еще snapshot с расширением .dat, он нужен?
17.09.2010, 00:07
Никита Соловьев

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]
KillAll::

File::
c:\windows\system32\c9f3015c.exe
c:\windows\system32\dqcyzx.exe
c:\windows\system32\blflay.exe
c:\windows\system32\bisoaz.exe
c:\windows\system32\ac8efa71.exe
c:\program files\Common Files\jqyrg4inedzz13m

Folder::
c:\program files\Common Files\cc9df73b

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
17.09.2010, 01:02
alpauk

[QUOTE=Venus Doom;707397]Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]
KillAll::

File::
c:\windows\system32\c9f3015c.exe
c:\windows\system32\dqcyzx.exe
c:\windows\system32\blflay.exe
c:\windows\system32\bisoaz.exe
c:\windows\system32\ac8efa71.exe
c:\program files\Common Files\jqyrg4inedzz13m

Folder::
c:\program files\Common Files\cc9df73b

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
[/code]После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.[/QUOTE]

Вот, принес лог.
17.09.2010, 01:03
Никита Соловьев

AVZ запускается?
17.09.2010, 01:23
alpauk

[B]Venus Doom[/B], да, запустился, но я не смог его обновить, и комп не видит флешки. надо из safe moda попробовать...
17.09.2010, 01:43
alpauk

[QUOTE=Venus Doom;707426]AVZ запускается?[/QUOTE]

Так-так, лед тронулся... Вот логи AVZ и RSIT. Заработал браузер, но сюда на форум *ой!* не пускает. Наверно, есть надежда убороть супостата???

да, и не дает никому обновляться пока...
17.09.2010, 08:23
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monmvr32.exe','');
QuarantineFile('C:\windows\system32\ac8efa71.exe','');
QuarantineFile('C:\windows\system32\bisoaz.exe','');
DeleteFile('C:\windows\system32\bisoaz.exe');
DeleteFile('C:\windows\system32\ac8efa71.exe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monmvr32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
17.09.2010, 10:31
alpauk

[QUOTE=Olejah;707482]Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -[/QUOTE]

Вот, прислал карантин и логи приложил.
17.09.2010, 18:31
Никита Соловьев

Сделайте лог [URL=http://virusinfo.info/showthread.php?t=53070]MBAM[/URL]
17.09.2010, 20:38
alpauk

[QUOTE=Venus Doom;707766]Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL][/QUOTE]

Вот mbam-лог. Надо ли удалять найденное им же? А то по ссылке говорят, мол, не торопиться.
17.09.2010, 20:44
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\drivers\17586111.sys (Rootkit.Agent.H) -> No action taken.[/CODE]

- Повторите лог МВАМ
17.09.2010, 21:33
alpauk

[QUOTE=Olejah;707839][URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\drivers\17586111.sys (Rootkit.Agent.H) -> No action taken.[/CODE] - Повторите лог МВАМ[/QUOTE]

Вот что получилось.

Перезагрузил, пошел пробовать, что вышло...
17.09.2010, 21:34
Никита Соловьев

Что с проблемой?
17.09.2010, 21:43
alpauk

[QUOTE=Venus Doom;707870]Что с проблемой?[/QUOTE]
Ага. В инет выходить машина может, пусковая по-прежнему висит, explorer тормозит сильно, ff работает, но тормозит. AVZ обновился успешно, RSIT запускается... В общем, счастье близко, но это еще не оно...
17.09.2010, 21:46
Никита Соловьев

[QUOTE='alpauk;707874']пусковая по-прежнему висит[/QUOTE]пусковая? поясните

FF переустановите
17.09.2010, 21:54
alpauk

[QUOTE=Venus Doom;707877]пусковая? поясните

FF переустановите[/QUOTE]

нижняя панель, где кнопа Пуск и трей. Постояло минут 15, отвисло. Хм... Диспетчер задач тоже открылся, я его вызывал тогда же, минут 15 тому...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[B]Venus Doom[/B], да, как все отвисло - вроде работает все. где-то клинит поначалу. и ФФ работате, вот, уже с этой машины пишу.
17.09.2010, 21:57
Никита Соловьев

Ставим [излечено]?
17.09.2010, 22:01
alpauk

[QUOTE=Venus Doom;707888]Ставим [излечено]?[/QUOTE]

Ну... Не сглазить бы))) Но какой кайф опять сидеть за своей машинкой!!!!!
Во-первых - ОГРОМНОЕ спасибо.
А во-вторых (несколько уже нахально) - скажите, стоит ли оставаться под Avast'ом? Или как лучше беречься?
17.09.2010, 22:15
Никита Соловьев

[QUOTE='alpauk;707891']скажите, стоит ли оставаться под Avast'ом?[/QUOTE]Решать Вам.

[QUOTE='alpauk;707891']Или как лучше беречься?[/QUOTE]Регулярно устанавливайте обновления и исправления безопасности + почитайте тему "10 заповедей" в этом разделе
17.09.2010, 22:27
alpauk

[B]Venus Doom[/B], a vse-taki ne vse v poryadke. Start panel tak i visit, i dazhe raskladku perekluchit ne mogu. Ctrl+Alt+Del ne rabotaet. Recidiv?(
17.09.2010, 22:36
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ExecuteRepair(2);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Какие изменения?
17.09.2010, 23:17
alpauk

[QUOTE=Venus Doom;707907]Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ExecuteRepair(2);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]После выполнения скрипта компьютер перезагрузится.

Какие изменения?[/QUOTE]

Нерадостные изменения... Тормоза растут. Опять минут 20 все подвисало, сейчас ожило, ставлю апдейты...

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

Mda, vse po-prezhnemu. Mozhet log kakoy prislat'?
17.09.2010, 23:21
Никита Соловьев

Делайте новый комплект логов
17.09.2010, 23:44
alpauk

[QUOTE=Venus Doom;707934]Делайте новый комплект логов[/QUOTE]

Вот они.
17.09.2010, 23:49
alpauk

вот сейчас все уже отвиселось - и красота! живи да работай...
17.09.2010, 23:54
Никита Соловьев

Дай Бог!
В логах чисто

Показывать 40 сообщений этой темы на одной странице