Показано с 1 по 20 из 20.

вирус убил антивирь и не даёт установить вновь защиту (заявка № 13882)

  1. #1
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    12
    Вес репутации
    38

    Thumbs up вирус убил антивирь и не даёт установить вновь защиту

    вирус убил антивирь и не даёт установить вновь защиту... стоял avast, пытался переустановить - ничего не вышло ( . вирус удаляет основные exe-шники ещё при инсталяции )
    так же пытался установить drweb, bitdefender - результат такой же
    в безопасный режим зайти не удалось - постоянно идёт перезагрузка компа
    через загрузочный вышел в командер (предварительно скачал архивом drweb_dos) , распокавал проверил ... ничего не найдено, для эксперемента переименовал файл exe-шника из drweb399.exe в tets.exe ... вирус его не тронул
    прошу помочь, зарянее признателен ...

    пс на компе давно ещё живут lsass.exe, winlogon и пр. которые вручную отрубить не удалось, и ни KAS ни NOD32 и др не хотят справляться (

    ппс exe-шник предпологаемого заразчика могу выслать, но полностью не уверен, так как пользователей на компе несколько
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearHostsFile;
     QuarantineFile('C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe','');
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\srosa.sys','');
     QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\ipreg32.inf','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
     QuarantineFile('D:\Disc D\programs\hack\Restorator25\Restorator.exe','');
     QuarantineFile('C:\Program Files\EmEditor\emedshl.dll','');
     QuarantineFile('C:\WINDOWS\system32\TSLLkSrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\dev32.exe','');
     QuarantineFile('C:\WINDOWS\system32\mocih.exe','');
     DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    ExecuteSysClean;
    end.
    Поищите siside.sys, карантин пришлите

    Добавлено через 5 минут

    Пофиксите в HiJackThis:
    Код:
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O3 - Toolbar: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - (no file)
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl178bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -
    Последний раз редактировалось rubin; 05.11.2007 в 20:09. Причина: Добавлено

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    и еще немного ... поиксите...
    Код:
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - (no file)
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\srosa.sys','');
     QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
     DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
     DeleteFile('\??\C:\WINDOWS\system32\drivers\srosa.sys');
     BC_QrSvc('ACCRA');
     BC_QrSvc('FreeBSD');
     BC_DeleteSvc('ACCRA');
     BC_DeleteSvc('FreeBSD');
     BC_DeleteSvc('srosa');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    повторите логи...

  5. #4
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    12
    Вес репутации
    38
    Файл сохранён как 071105_113527_virus_472f545f19f2c.zip
    логи сейчас будут

    пс siside.sys найден . что с ним делать ?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Добавьте его в карантин, пожалуйста, и так же пошлите этот карантин

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    C:\WINDOWS\Downloaded Program Files\popcaploader.dll not-a-virusownloader.Win32.PopCap.a
    C:\WINDOWS\system32\drivers\srosa.sys Win32.HLLM.Beagle (DrWeb)

  8. #7
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    12
    Вес репутации
    38
    карантин залил
    Файл сохранён как 071105_120844_virus2_472f5c2c51374.zip

    странно... но сканирование в AVZ идёт гораздо дольше

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    siside.sys чист... Ждём логов

  10. #9
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    12
    Вес репутации
    38
    логи
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    WINDOWS\system32\drivers\siside.sys -чистый...

    Добавлено через 6 минут

    выполните скрипт ...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
      QuarantineFile('c:\windows\system32\wintems.exe','');
     QuarantineFile('c:\windows\system32\drivers\hidr.exe','');
     DeleteFile('c:\windows\system32\drivers\hidr.exe');
     DeleteFile('c:\windows\system32\wintems.exe');
     BC_DeleteFile('\??\C:\WINDOWS\system32\drivers\srosa.sys');
     DeleteFile('\??\C:\WINDOWS\system32\drivers\srosa.sys');
     DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
     BC_DeleteSvc('srosa');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил..
    повторите логи...
    Последний раз редактировалось V_Bond; 05.11.2007 в 21:30. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    12
    Вес репутации
    38
    ради теста попробовал разархивировать дистрюбитив с drweb_dos ... по прежнему убивает основное приложение
    ...
    сейчас скрипт запущу
    ...
    Файл сохранён как 071105_124459_virus3_472f64ab67455.zip
    Последний раз редактировалось biven; 05.11.2007 в 21:45.

  13. #12
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    12
    Вес репутации
    38
    логи
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Код:
    O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hidr.exe
    O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     DeleteFile('C:\WINDOWS\system32\drivers\hidr.exe');
     DeleteFile('C:\WINDOWS\system32\wintems.exe');
    BC_ImportDeletedList;
    ExecuteRepair(1);
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите лог...HijackThis

  15. #14
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    12
    Вес репутации
    38
    вот пжлста
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    В логе чисто... проблема решилась?

  17. #16
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    12
    Вес репутации
    38
    спасибо за помощь, обоим помошникам r+ )
    при разархиваци нужный файл жив, думаю при инсталяции др пакетов проблем не возникнет
    а как решить вопрос с lsass.exe и services.exe, winlogon.exe ... это вредоностные приложения или нет ?

    add
    подскажите какой лучше антивирь держать ? на свой взгляд ...
    1.7 проц, 512 оперативки - быстрым не назвать, особенно когда столько вирусни сидит
    от аваста откажусь наверн, хоть он и уcтраивал по ресурсоёмкости ... выбор между drweb, BitDefender, Trend Micro pc, F-antivirus

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Это нормальные процессы Windows.
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в вашем случае вредоносов с такими именами нет ... все что есть системные процессы ...

    Добавлено через 1 минуту

    Цитата Сообщение от biven Посмотреть сообщение
    выбор между drweb, BitDefender, Trend Micro pc, F-antivirus
    drweb или BitDefender ....
    Последний раз редактировалось V_Bond; 05.11.2007 в 22:57. Причина: Добавлено

  20. #19
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    12
    Вес репутации
    38
    ещё раз вас благодарю
    сейчас поизучаю материал в ссылках

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 84
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\hidr.exe - Trojan-Downloader.Win32.Bagle.fi (DrWEB: Win32.HLLM.Beagle)
      2. c:\\windows\\system32\\drivers\\srosa.sys - Trojan-Downloader.Win32.Bagle.fk (DrWEB: Win32.HLLM.Beagle)
      3. c:\\windows\\system32\\wintems.exe - Trojan-Downloader.Win32.Bagle.fl (DrWEB: Win32.HLLM.Beagle)


  • Уважаемый(ая) biven, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. не могу установить защиту на компьютер... (заявка №90637)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 26.06.2011, 17:00
    2. Вновь и вновь trojan-dropper.win32.autoit.ad
      От prostoaf в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.05.2010, 10:45
    3. Файл вновь появляется после удаления
      От cerberus в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.04.2010, 21:30
    4. Ответов: 11
      Последнее сообщение: 05.09.2009, 07:41
    5. Ответов: 2
      Последнее сообщение: 13.11.2008, 01:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01286 seconds with 17 queries