Здравствуйте.
Ситуация в следующем:
однажды отключив свой антивирус НОД32, не смогла его включить, так как писал о повреждении запускаемого файла.
скачала с др.вэб cureit, проверила, обнаружилось
1. wfsintwq.sys инфицирован Win32.HLLM.Beagle.990,
2. hYFlj4M4.exe.part , возможно, инфицирован BACKDOOR.Trojan,
3. flec006.exe инфицирован Trojan.DownLoad1.60176
нажала лечить, было не возможно-удалила.
так же перестал работать QIP, загружается, но с пустым списком контактов, а так же показывает что я в сети, но друзья говорят я в офф. запустила тот же квип с другого номера, все работало прекрасно. на следующий день перестал работать и со второго номера. так же пусто и в сети.
в диспетчере задач периодически появляется задача будто бы запущена программа Стронг DC++ и подключена к неизвесному мне хабу, по факту она не запущена, и я ей не пользуюсь неск лет. более того я была уверена что она удалена, и в панеле управления "уст и удал программ" ее не нашла.
нашла ваш сайт, прочитала, и начала выполнять ваши "правила"
1. скачала 3 утилиты(не без проблем, так как при нажатии на ваши зеркала браузер сразу же закрывался, то же самое происходило при вводе названия hijackthis в гугл, яндекс и в поиск DC++, а так же при нажатии на любые ссылки на эту программу. в итоге мне их скинули по почте) Снесла mcafee полностью.
2. хотела проверить еще раз cureit в безопасном режиме, но войти в него мне не удалось, так как после нажатия "загрузить в без.режиме"вылез синий экран с информацией о невозможности загрузиться, и преждложением проверить комп на вирусы.
поэтому проверяла из обычного режима. обнаружились так же 3 вируса. нажала лечить, было не возможно-удалила. перезагрузилась.
3.распоковать AVZ не удалось, так как выдало кучу сообщений о поврежденных файлах. Скачала AVZ не в архиве, папкой из DC++. запускаю-виснет папка в которой он находится, ничего не происходит, висит. через диспетчер задач снимаю задачу. и так 10 раз. качала с других мест, другие папки, архивы, эффект один.
в связи с тем, что я застряла на третьем шаге подготовки к диагностике, то протоколов выслать не могу.
надеюсь вы сможете мне подсказать как выйти из этой ситуации, и все таки сделать диагностику.
заранее спасибо, Наталия.
Добавлено через 1 час 19 минут
Уважаемые!!! пожалуйста!!! не игнорируйте, я четко следовала правилам!!! я не виновата, что программы утилиты не запускаются!!подскажите что сделать, или скажите что вы мне помочь не можете, чтоб я не сидела и ждала вашей помощи!!!пожалуйста!!!
хайджек тоже не запускается, ни обычный, не скачанный переименнованный! запускаю, и ничего не происходит!
очень прошу, ответьте..
Последний раз редактировалось lioness; 08.06.2010 в 16:17.
Причина: Добавлено
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
спасибо.
Скачала, не запускается, сразу виснет, переименовать не удается, при первом же клике на файл папка содержащая файл "не отвечает в диспетчере" и ничего не происходит, удаляю задачу с помощью диспетчера.
простите, я не скачала его на рабочий стол.
исправилась. скачала на раб стол. теперь он при запуске выдает combofix.exe не является приложением Win32? после переименования тоже самое.
Не отказывают Вам в помощи. Просто бесцеремонно вмешиваются некоторые товарищи
Запустите OSAM. Когда закончится сканирование, в меню драйверов правой кнопкой по srosa и выберите "Turn Run Off", потом подтвердите перезагрузку.
Повторите эти действия для sK9Ou0s
После этого заново скачайте AVZ (обновите его базы) и ComboFix, попробуйте подготовить логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
запустила осам, после сканирования сделала как вы велели по srosa, перезагрузила, вновь после сканирования так же сделала с sK9Ou0s, но запроса на перезагрузку не всплыло(может потому что sK9Ou0s не был выделен красным?), там было второе красное srosa, сделала Turn run off и для него, подтвердила перезагрузку.
скачала вновь архив авз, не распаковал.
скачала комбофикс, запускаю, вылезает "....комбофикс.ехе не являнется приложением win 32.
переименовала-то же самое.
Добавлено через 2 минуты
Сообщение от Alex_Goodwin
Перед перезагрузкой обязательно снимите галочки или удалите эти записи в секции Run
эээ, прочитала уже после того как все сделала.
thyrex,это оять кто-то "бесцеремонно влез", или сделать так как он пишет?
Последний раз редактировалось lioness; 09.06.2010 в 09:40.
Причина: Добавлено
После манипуляций с OSAM нужно сделать выполнить скрипт в авз:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Последний раз редактировалось Alex_Goodwin; 09.06.2010 в 10:59.
Причина: Добавлено
Запустите в АВЗ Мастер поиска и устранения проблем и устраните:
Код:
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а ссылку пришлите на указанный электронный адрес
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
в АВЗ Мастер поиска и устранения проблем так же выявил "нарушение ассоциации SCR файлов" я его не устранила, только то что вы написали выше.
безопасный работает, антивирус установленный ранее всё так же не запускается.
при загрузке системы постоянно выскакивает окно, скрин (11.жпг) прилагаю.
cureit ничего не нашел
карантин отправила по правилам, только не знала которые именно файлы из него вам нужны(в правилах нет) отправила все.
прошел файл??
квип все так же не грузится. точнее грузится но без списка контактов и друзья говорят что я в офф, хотя квип показывает он лайн.
Последний раз редактировалось lioness; 09.06.2010 в 12:26.
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а ссылку пришлите на указанный электронный адрес
отправила
Уважаемый(ая) lioness, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: