Помогите !!! с проблемой lostvolume

[S1111S]

повторил указания 15-го сообщения.....с обычным AVZ такая история...появляется окно на 2 секунды и сворачивается. Но сейчас я успел каким-то чудом нажать на выполнение скрипта №2 и он его в свернутом режиме выполнил, перезагрузил ноут, ......включил обычный обновленный AVZ, опять успел до сворачивания .... выполняю скрипт№3, посмотрел lostvolume висит((шлю повторно три лога, но выполнены они в обычном AVZ.

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
 CreateQurantineArchive(GetAVZDirectory+'susp.zip');
 RebootWindows(true);
end.

Файл susp.zip пришлите по ссылке прислать запрошенный карантин

[S1111S]

Venus Doom, делал все по схеме---успел-нажал, через обычный AVZ. Файл susp.zip отослал.

[Никита Соловьев]

Подождем анализа файлов

[S1111S]

Venus Doom, насколько долго ждать, дружище??? Вопрос такой еще...по запросу в яндексе вируса Trojan-Dropper.Win32.Clons.bjh выдает лабораторию каспера --новые вирусы. Может попробовать скачать пробную версию каспера 10 и попытаться снести этот вирус??? Как думаете есть смысл?? Ноут завтра нужен.....живой и здоровый((

[Никита Соловьев]

Подождите пока

[S1111S]

Venus Doom, ок)кстати, может вам пригодиться, зараза скорее всего пришла от Ортман лариса, тема письма -- Fwd: Сверка, акты и счет на оплату. и вложенный файл (и я повелся) ...файл то явно ехе-шный, весит 2 мб.

[Никита Соловьев]

Ящик не нужно публиковать

[S1111S]

ок

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('c:\program files\fontsys.fon');
 DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
 DeleteFile('C:\Program Files\Services\mservice.exe');
 DeleteFileMask('C:\Program Files\Services','*.*',true);
 DeleteDirectory('C:\Program Files\Services');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи

[S1111S]

Venus Doom, шлю логи, пока та же картина.

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.


В HiJackThis пофиксите:

Код:

O4 - Startup: lostvolume.exe

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('fontsys.fon');
 QuarantineFile('C:\Program Files\dwFlags\RDPDD Chained DD.exe','');
 QuarantineFile('C:\Program Files\fontsys.fon','');
 QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe','');
 QuarantineFile('C:\Program Files\Services\mservice.exe','');
 DeleteFile('C:\Program Files\Services\mservice.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mfdrivers');
 DeleteFile('C:\Program Files\fontsys.fon');
 DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
 DeleteFile('C:\Program Files\dwFlags\RDPDD Chained DD.exe');
 DeleteFileMask('C:\Program Files\Services','*.*',true);
 DeleteDirectory('C:\Program Files\Services');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RDPDD Chained DD');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
 BC_DeleteFile('C:\Program Files\Services\mservice.exe');
BC_Activate;
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'new-quarantine.zip'); 
end.

Файл карантина new-quarantine.zip пришли по ссылке вверху темы. Сделайте новые логи. отпишитесь о состоянии машины.

[thyrex]

+ к миднайт

Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1

[S1111S]

миднайт, Уважаемые, Миднайт и Venus Doom !
Благодарю за помощь и участие, но сейчас такая картина: долго ждал ответа на последнюю отправку логов, в результате скачал касперского 10 пробного (посколько поиск выдал знакомство его с данной заразой) после быстрой проверки он поудалял 6 троянов, в том числе убрал из автозагрузки lostvolume!!! из програм файл - фонтсизе, сервис, флаг и еще чего-то. Хочу просканировать комп полностью. Время позднее, завтра на работу, если проблема не решится завтра поднему эту тему, с вашего позволения еще раз. Пока вроде каспер работает, интернет работает, браузер работает, документы работают, единственная оставшееся от этой заразы -- проблема не открывается msconfig....

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\user\главное меню\программы\автозагрузка\lostvolume.exe - Trojan-Dropper.Win32.Clons.bjh ( DrWEB: Trojan.MulDrop.32194, AVAST4: Win32:Malware-gen )
  2. c:\program files\fontsys.fon - HackTool.Win32.Hidd.cc ( DrWEB: Trojan.MulDrop.31992, BitDefender: Trojan.Generic.2136392, NOD32: Win32/Delf.OKV trojan, AVAST4: Win32:Induc )
  3. c:\program files\services\mservice.exe - Trojan-Dropper.Win32.Clons.bjh ( DrWEB: Trojan.MulDrop.32194, AVAST4: Win32:Malware-gen )