Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Помогите Win.Grum и еще куча всякой гадости (заявка № 10804)

  1. #1
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39

    Thumbs up Помогите Win.Grum и еще куча всякой гадости

    Пожалуйста, помогите.
    Получила я открыточку, будь она не ладна, и подхватила какую-то заразу. AGV расспознал ее как win.grum, и вроде как убил, потом CureIT наловил кучу троянов, но на душе совсем не спокойно: комп тормозит, виндоуз при запуске в нормальном режиме жалуется что не может найти файл servises.exe и советует удалить запись из реестра.
    Попробовала сделать логи AVZ в соответствии с правилами, но в нормальном режиме ничего не выходит - начинается выполнение скрипта и компьютер перезагружается. Поэтому логи в безопасном режиме...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     QuarantineFile('NDIS.sys','');
     QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
     DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     BC_DeleteSvc('runtime2');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

    Пофиксить:
    Код:
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
    O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe (file missing)
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39
    В безопасном режиме? Или попробовать в нормальном?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Раз уж логи делались в безопасном, то и скрипт выполните тоже в безопасном.
    А после выполнения и перезагрузки можно попробовать загрузиться в нормальном.
    Если в нормальном загрузится, фиксить в норм.
    Последний раз редактировалось Kuzz; 03.07.2007 в 21:39. Причина: фиксить ...
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39
    Скрипт выполнила, карантин загрузила.
    Фиксить в каком режиме?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Фиксить в нормальном.
    Сделайте новые логи, пожалуйста.
    The worst foe lies within the self...

  8. #7
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39
    Виндоуз продолжает требовать файл servises.exe и предлагает удалить ссылку из реестра.
    В нормальном режиме HJ строку О4 не показал...
    Остальные три пофиксила.
    Вложения Вложения
    Последний раз редактировалось рыбенок; 03.07.2007 в 23:08. Причина: добавлены логи

  9. #8
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39
    логи прикрепила выше

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\ServicePackFiles\services.exe','');
     DeleteFile('C:\WINDOWS\ServicePackFiles\services.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('msupdate');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis:
    Код:
    F3 - REG:win.ini: run=C:\WINDOWS\ServicePackFiles\services.exe
    Обновите базы AVZ и сделайте логи еще раз.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39
    Скрипт выполнила.
    Строки для HJ F3... не вижу...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от рыбенок Посмотреть сообщение
    Строки для HJ F3... не вижу...
    Значит ушла после скрипта, тем лучше.
    Осталось обновить базы AVZ и сделать новые логи.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39
    Логи после обноления баз:
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     Clearquarantine;
     QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\NDIS.SYS','');
     QuarantineFile('c:\windows\system32\drivers\port_nt.sys','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
    DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

  15. #14
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39
    Сделаю скрипт в пятницу вечером, когда доберусь до того компа.

  16. #15
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39
    Скрипт сделала, карантин загрузила

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В карантине:
    startdrv.exe - Trojan-Downloader.Win32.Agent.buy (удален)
    port_nt.sys - чистый
    NDIS.SYS - вроде бы тоже, но подождем ответа от ЛК.

    Добавлено через 31 минуту
    Ответ пришел, файл чистый.
    По идее, проблемы уже быть не должно.
    Сделайте еще раз логи.
    Последний раз редактировалось Bratez; 07.07.2007 в 03:14. Причина: Добавлено сообщение
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39
    Снова добралась до компа и сделала новые логи. Надеюсь уже чисто?
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    В логах ничего подозрительного нет,можете очистить корзину.
    Проблема пропала?

  20. #19
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    11
    Вес репутации
    39
    Вроде все нормально, СПАСИБО ОГРОМНОЕ!!!

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  • Уважаемый(ая) рыбенок, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 12.06.2012, 15:27
    2. Ответов: 7
      Последнее сообщение: 19.07.2009, 11:07
    3. Deep Freeze и много всякой гадости
      От serjga в разделе Помогите!
      Ответов: 82
      Последнее сообщение: 22.02.2009, 03:53
    4. Нахватался всякой гадости
      От Ilyas в разделе Помогите!
      Ответов: 77
      Последнее сообщение: 22.02.2009, 02:29
    5. Win32.Grum Помогите с вирусней!
      От elem в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 01:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00261 seconds with 17 queries