Показано с 1 по 20 из 20.

Проблемы с ноутом (заявка № 10482)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62

    Question Проблемы с ноутом

    На рабочем ноутбуке начальника возникли проблемы: запускается на 5-10 раз (в противном случае ошибка на синем экране), если запускается, то Др.Вэб находит вирусы-трояны, после удаления все равно появляются снова, в частности Backdoor.Bulknet и Trojan.Packed140. В общем невесело, т.к. переустановка очень непроста - есть проблемы с рабочими приложениями, а помощи ждать неоткуда, мы в Аргентине, а они в Питере (наши компьютерщики). Из безопасного режима проверил системный диск AVZ и HiJack, логи прилагаю. Надеюсь на помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы.
    Отключитесь от Интернета.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SearchRootkit(true, true);
     ClearQuarantine;
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\luk\Local Settings\Temp\win1D3F.tmp','');
     QuarantineFile('C:\WINDOWS\system32\helper.dll','');
     QuarantineFile('tphklock.dll','');
     QuarantineFile('psqlpwd.dll','');
     QuarantineFile('notifyf2.dll','');
     QuarantineFile('cligumim.exe','');
     QuarantineFile('autorun.bat','');
     QuarantineFile('C:\WINDOWS\system32\wpfcef.dll','');
     QuarantineFile('C:\WINDOWS\system32\vexg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\rpcc.exe','');
     QuarantineFile('C:\WINDOWS\system32\rdsruns.exe','');
     QuarantineFile('C:\WINDOWS\system32\mmswr.exe','');
     QuarantineFile('C:\WINDOWS\system32\kernels32.exe','');
     QuarantineFile('C:\WINDOWS\system32\edconss.exe','');
     QuarantineFile('C:\WINDOWS\system32\cpdbl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\clifhysb.exe','');
     QuarantineFile('C:\WINDOWS\retadpu27.exe','');
     QuarantineFile('C:\DOCUME~1\luk\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\WINDOWS\system32\tphklock.dll','');
     QuarantineFile('\??\C:\WINDOWS\system32\xpdx.sys','');
     QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
     BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_QrFile('C:\WINDOWS\system32\a3dx8.dll');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     ExecuteSysClean;
     ClearHostsFile;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     BC_Activate; 
     RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил)
    Последний раз редактировалось AndreyKa; 19.06.2007 в 00:00.

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62
    Из обычного режима AVZ запускается каким-то кривым и скрипт не выполнить. Можно это сделать из Safe Mode?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Да, скрипт можно запустить из Safe mode.
    Что значит, AVZ запускается кривым и почему скрипт не выполнить?

    После выполения скрипта пофиксте в HijackThis следующие строки:
    O2 - BHO: Helper Class - {850C7964-9320-4055-BE11-7D7B562A6417} - C:\WINDOWS\system32\helper.dll (file missing)
    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227 A755E9C2933154389A284661A64DB7C8F0287E55E246220D9E 728F80D6664366DB7D5475E744AB97
    O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
    O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
    O4 - HKLM\..\Run: [clsvxs] cligumim.exe
    O4 - HKLM\..\Run: [uiprocs] C:\WINDOWS\system32\clifhysb.exe
    O4 - HKLM\..\Run: [newrs32] C:\WINDOWS\system32\edconss.exe
    O4 - HKLM\..\Run: [mwini32] C:\WINDOWS\system32\mmswr.exe
    O4 - HKLM\..\Run: [msrlink] C:\WINDOWS\system32\rdsruns.exe
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vexg6ame4.exe
    O4 - HKCU\..\Run: [clsvxs] cligumim.exe
    O4 - HKCU\..\Run: [uiprocs] C:\WINDOWS\system32\clifhysb.exe
    O4 - HKCU\..\Run: [newrs32] C:\WINDOWS\system32\edconss.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\luk\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\system32\mmswr.exe
    O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\system32\rdsruns.exe
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dx8.dll
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
    O20 - Winlogon Notify: psfus - C:\WINDOWS\SYSTEM32\psqlpwd.dll
    O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
    O21 - SSODL: CDRecorder036 - {A3BC5E20-0235-1ABF-9CE1-00AA00512036} - C:\WINDOWS\system32\cpdbl32.dll (file missing)
    O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\wpfcef.dll (file missing)
    Перезагрузите компьютер.
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме вместе с файлом boot_clr.log из папки AVZ.

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62
    Спасибо за помощь, но все идет не так быстро, как хочется - Hijack не запускается даже переименованный, придется из Safe Mode

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Пожалуйста, делайте то что вам говорят. Вы не прислали карантин, а уже стали фиксить в HijackThis.
    И отвечайте на вопросы. Иначе, помочь вам будет очень сложно.

  8. #7
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62
    AVZ запускается с черными кнопками, скрипт не вставляется.
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62
    А как посылать файлы из карантина, их там много? Все и посылать?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Двадцать четыре файла было заряжено скриптом. Можно считать, что это много. Присылайте, что есть.

  11. #10
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62
    Спасибо за помощь, завтра пришлю

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Выполните скрипт:
    Код:
    begin
    BC_DeleteSVC('runtime');
    BC_DeleteSVC('runtime2');
    BC_DeleteSvc('xpdx');
    BC_DeleteFile('C:\WINDOWS\system32\xpdx.sys');
    BC_Activate;  
    RebootWindows(true); 
    end.
    В безопасном режиме выполните пункт 2 правил -перезагрузитесь.
    После, установив AVZPM, сделайте новые логи.
    Последний раз редактировалось Alex_Goodwin; 19.06.2007 в 04:01.

  13. #12
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62
    Посылаю файлы карантина. По 2 пункту правил - у меня Др.Веб, написано, что в этом случае этот пункт пропустить. И что значи AVZPM??

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    После скрипта от Alex_Goodwin выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\a3dx8.dll');
     DeleteFile('C:\WINDOWS\system32\autorun.*');
     DeleteFile('C:\autorun.*');
     BC_DeleteFile('C:\WINDOWS\system32\a3dx8.dll');
    ExecuteSysClean;
    ClearHostsFile;
    BC_Activate;
    RebootWindows(true);
    end.
    (последует перезагрузка)
    Если возникнут проблемы с открытием дисков через "Мой компьютер",
    решение найдете здесь.
    Если сделать логи в нормальном режиме по-прежнему невозможно,
    сделайте, как написано здесь.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62
    Высылаю логи, сделанные после выполенения скрипта Alex_Goodwin в нормальном режиме. Сейчас буду делать следующий скрипт.
    Вложения Вложения

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вышлите получившийся карантин. Там много чего отловилось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сейчас буду делать следующий скрипт.
    Хорошо. После него еще вот этот:
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
    DeleteFile('C:\Documents and Settings\luk\Local Settings\Temp\*.*');
    DeleteFile('C:\WINDOWS\Temp\*.*');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и опять новые логи.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62
    Высылаю последние логи. Все уже гораздо лучше - Windows грузится с первого раза, IE работает.
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Опять возникают подозрительные файлы во временной папке, странно это,
    хотя в системе вроде бы уже чисто...
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
    O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
    O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
    Обновите базы DrWeb и сделайте полную проверку компьютера в безопасном режиме.
    Надеюсь, на этом ваши проблемы закончатся.
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62
    Но тем не менее, Др.Веб нашел Trojan.Packed.140 в папке С:\Documents_and_Settings\...\Temp
    Да, сейчас сделаю.

  21. #20
    Junior Member Репутация
    Регистрация
    18.06.2007
    Сообщений
    11
    Вес репутации
    62
    Большое спасибо за помощь, все работает, вирусов больше не найдено.

  • Уважаемый(ая) Felka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблемы с ноутом
      От olorint в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.01.2011, 09:46
    2. Проблемы с ноутом
      От Gessy в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.08.2010, 18:51
    3. Проблемы с ноутом
      От Riddic 2 в разделе Аппаратное обеспечение
      Ответов: 5
      Последнее сообщение: 13.06.2010, 13:35
    4. ПРОБЛЕМЫ С НОУТОМ
      От w1LdF1r3 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.03.2010, 20:48
    5. проблемы с ноутом
      От arturchik в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 09:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01646 seconds with 20 queries