-
Junior Member
- Вес репутации
- 63
Жуткий зверь. HELP
Не дает открыть ни один документ Office (выдает надпись "файл инфицирован" или "файл все еще инфицирован"). При попытке сохранить на диск файл с CureIt выдал что-то про неправильный инкриптор и не сохранил. Переименование не помогло. Запустил с флэшки и все было нормально пока он не нашел какой-то зараженный файл, после чего в течении 1-2 секунд CureIt! исчезла с экрана. В safe mode загрузится не дает. Попытка запустить AVZ окончилась неудачно. Секунд 10 висели часики, но он так и не запустился. В списке процессов AVZ отсутствует. Поэтому смог добиться только лог от Hijack.
===
Если постоянно пытаться запустить AVZ, то он появляется на 1-2 сек. и тут-же исчезает. Никаких ошибок при этом не выдается.
Последний раз редактировалось Scanalex; 06.06.2008 в 12:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Спецверсия AVZ ведет себя точно так-же. Запускается на 1-2 секунды и вылетает
-
1. Загрузитесь в безопасном режиме.
2. Нижеперечисленные файлы скопируйте в отдельную папку, заархивируйте с паролем virus
C:\WINDOWS\system32\rqvt684.exe
C:\WINDOWS\TEMP\loader.exe
C:\WINDOWS\csrss.exe
C:\Documents and Settings\inter\ie_updates3r.exe
3. Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\rqvt684.exe"
O4 - HKLM\..\Run: [advap32] "C:\WINDOWS\TEMP\loader.exe" /r
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
4. Пуск - Выполнить - cmd,
в командной строке наберите:
sc delete "Google Online Services"
(именно так с кавычками) и нажмите Enter.
5. Перезагрузите компьютер, удалите файлы, перечисленные в п.2, а архив с ними загрузите тут: http://virusinfo.info/upload_virus.php?tid=24124.
6. Попробуйте сделать все логи, если никак - сделайте хоть Hijackthis.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Беда в том, что safe mode не работает. При попытке входа в него комп перегружается и все.
-
Да, пардон, я пропустил... Ну попробуйте сделать все это в обычном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Если делать все в обычном режиме, то все зависает уже при попытке создать архив с файлами После перезагрузки пробовал фиксить указанные ветки - эффект тот-же, 100% занятость процессора и более ничего.
-
Грузиться с диска, например bart pe и делать всё выше сказанное.
-
-
Junior Member
- Вес репутации
- 63
Хорошая вещь bart pe. Вот только файловый менеджер его, ну никак не хочет показывать имена папок, вместо названий вермишель какая-то или просто пустое место, только иконки. Это нормально, или только у меня так?
-
Сообщение от
Scanalex
Это нормально, или только у меня так?
Видимо, только у вас.
Мой BartPE отлично показывает все имена, в том числе и русские.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Вот максимум, что удалось выжать после 2-х дневного шаманства. Несколько раз прогонял CureIt, в результате чего удалось запустить AVZ и восстановить safe mode. Прогнал CureIt под safe mode, нашел кучу всего. Что-то вылечил, что-то удалил. Потом в обычном режиме удалось сделать один лог AVZ. Второй лог получить не удалось, т.к. он опять начал самоликвидироваться. Пробовал запускать его с CD, но тогда непонятно куда он сохраняет лог, пишет что все выполнено, но самого лога на компе нет.
-
Junior Member
- Вес репутации
- 63
При проверке под safe mode (при выключенном восстановлении системы) в основном были найдены и вылечены файлы зараженные Win32.Sector.5. После этого при загрузке в обычном режиме AVZ не запускается (при запуске с диска экзешник удаляется, а с CD вообще не запускается), CureIt запустился только с CD и опять находит экзешники зараженные Win32.Sector.5. От сетки комп был все время отключен.
Добавлено через 1 час 23 минуты
Я так понял, пришло время переставлять Винду?
Последний раз редактировалось Scanalex; 09.06.2008 в 12:48.
Причина: Добавлено
-
Нет. Проверяйте систему CureIt, пока не изгоните Sector совсем. Можно попробовать это сделать с помощью LiveCD, тогда у зверя будет гораздо меньше шансов возобновиться во время сканирования.
Sector - файловый вирус. Лечится антивирусом хорошо, но очень уж активно размножается.
-
-
Junior Member
- Вес репутации
- 63
Как лучше проверять, из safe mode или обычной загрузкой? Safe mode-то периодически отрубается
Hijack после установки на диск и попытки запустить его, получает в свой экзешник ентот вирус, и есть ощущение, что его отчет малость подкорректирован вирусом.
Еще настораживает постоянное присутствие в процессах MDM.exe. После того, как его убиваешь руками, становиться возможным запустить AVZ.
-
MDM.exe - если это правильный файл, то это дебаггер от МС.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Загрузился с LiveCD и, вроде, изгнал демонов. Сейчас делаются логи AVZ, будут готовы - обнародую. Пока из побочных эффектов только остатки Симантека, которые никак не удалить из реестра, и проблема с установкой Registry Organizer (выдает сбой при установке) Радует, что теперь Avast встал без проблем.
-
Junior Member
- Вес репутации
- 63
Вот свежие логи, посмотрите, пожалуйста
-
Деинсталляци Симантека (на английском)
http://service1.symantec.com/SUPPORT...eg=hho&src=hot
Пока осталось еще достаточно много зверья. Будем бороться дальше.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
А как бороться, если CureIt более ничего не находит?
-
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmx19g.sys','');
SetServiceStart('mmx19g', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\hprroi.sys','');
SetServiceStart('aic32p', 4);
DeleteFile('C:\WINDOWS\system32\drivers\hprroi.sys');
DeleteFile('C:\WINDOWS\system32\mmx19g.sys');
BC_ImportDeletedList;
BC_DeleteSvc('mmx19g');
BC_DeleteSvc('aic32p');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин. Сделать новые логи.
Последний раз редактировалось PavelA; 10.06.2008 в 14:09.
Причина: Поправил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
AVZ сразу выдал "Ошибка: Undeclared identifier: "BS_DeleteService" в позиции 11:17"
Добавлено через 32 минуты
Скрипт выполнился, комп перегрузился. Папка "Quarantine" пуста. Логи выполняются, по готовности выложу.
Последний раз редактировалось Scanalex; 10.06.2008 в 14:39.
Причина: Добавлено