-
Junior Member
- Вес репутации
- 62
Комп постоянно перезагружается и требует проверку диска
Если при загрузке не пропустить проверку диска, то через пару минут работы компьютер перезагружается.
Были глюки с панелью задач. Зависал эксплорер при загрузке яндекса. Отключался брандмауэр. Постоянно появляется желтый треугольник на панели задач и сообщение, что какой-нибудь файл поврежден. Помогите!!!
Последний раз редактировалось Natrix; 15.02.2008 в 13:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\1F.tmp','');
QuarantineFile('C:\1B.tmp','');
QuarantineFile('C:\9.tmp','');
QuarantineFile('C:\14.tmp','');
QuarantineFile('C:\B.tmp','');
QuarantineFile('C:\1.tmp','');
QuarantineFile('C:\WINDOWS\system32\deviceemulator.exe','');
QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
QuarantineFile('C:\WINDOWS\system32\ndetect.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\c++.exe','');
QuarantineFile('C:\WINDOWS\ntfyapp.exe','');
DeleteService('asc3550p');
QuarantineFile('c:\sysgvci.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Kwkc56.sys','');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Kwkc56.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\1.tmp');
DeleteFile('C:\B.tmp');
DeleteFile('C:\14.tmp');
DeleteFile('C:\9.tmp');
DeleteFile('C:\1B.tmp');
DeleteFile('C:\1F.tmp');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('Kwkc56');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Выполните скрипт и полученный карантин пришлите по п.3 Правил
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y56JW9GN\211[1].exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VW3YBUV\211[2].exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VW3YBUV\211[1].exe','');
QuarantineFile('C:\1F.tmp','');
QuarantineFile('C:\1B.tmp','');
QuarantineFile('C:\9.tmp','');
QuarantineFile('C:\14.tmp','');
QuarantineFile('C:\B.tmp','');
QuarantineFile('C:\1.tmp','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\ndetect.exe','');
QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
QuarantineFile('C:\WINDOWS\system32\deviceemulator.exe','');
QuarantineFile('C:\WINDOWS\system32\7z.exe','');
QuarantineFile('C:\WINDOWS\system32\c++.exe','');
QuarantineFile('C:\WINDOWS\ntfyapp.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Kwkc56.sys','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y56JW9GN\211[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VW3YBUV\211[2].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VW3YBUV\211[1].exe');
DeleteFile('C:\1.tmp');
DeleteFile('C:\B.tmp');
DeleteFile('C:\14.tmp');
DeleteFile('C:\9.tmp');
DeleteFile('C:\1B.tmp');
DeleteFile('C:\1F.tmp');
BC_ImportAll;
BC_QrFile('c:\sysgvci.exe');
BC_QrFile('C:\Program.exe');
BC_QrFile('C:\Documents and Settings\Users\nax.exe');
BC_DeleteFile('c:\sysgvci.exe');
BC_DeleteFile('C:\Program.exe');
BC_DeleteFile('C:\Documents and Settings\Users\nax.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteSvc('helpsvc');
BC_DeleteSvc('lanmanworkstation');
BC_DeleteSvc('mnmsrvc');
BC_DeleteSvc('MySQL');
BC_DeleteSvc('PolicyAgent');
BC_DeleteSvc('ProtectedStorage');
BC_DeleteSvc('RasMan');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 62
Выполнила скрипт от V_Bond и отправила карантин.
Второй скрипт тоже выполнять? Увидела его уже после.
-
выполните хуже не будет ...
-
-
Junior Member
- Вес репутации
- 62
Выполнила, отправила карантин еще раз. Он оказался гораздо больше
-
C:\1.tmp -TR/Crypt.XPACK.Gen
C:\B.tmp TR/Crypt.XPACK.Gen
C:\14.tmp TR/Crypt.XPACK.Gen
C:\9.tmp TR/Crypt.XPACK.Gen
C:\1B.tmp TR/Crypt.XPACK.Gen
C:\1F.tmp TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\ntos.exe DR/Delphi.Gen
C:\WINDOWS\ntfyapp.exe Trojan.Peed.IQC
C:\WINDOWS\system32\makehm.exe TR/Crypt.FKM.Gen
C:\WINDOWS\system32\c++.exe TR/Crypt.FKM.Gen
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Kwkc56', 'Start');
DeleteFile('C:\WINDOWS\ntfyapp.exe');
DeleteFile('C:\WINDOWS\system32\makehm.exe ');
DeleteFile('C:\WINDOWS\system32\c++.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 62
Новые логи.
Постоянно появляется предупреждение: windows\system32\drivers\utg4mri1.sys файл поврежден и не может быть прочитан.
Последний раз редактировалось Alex_Goodwin; 15.12.2007 в 15:46.
-
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\utg4mzi1.sys','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 62
Отправила. Сообщение появляется все равно. Скрипт написал, что выполнен без ошибок, но в окне отчета виднелись красные надписи Ошибка.
-
C:\WINDOWS\TEMP\winlogon.exe - Trojan.Win32.Pakes.bty (уже д.б. удален).
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Users\Application Data\Mra\Update\mrasearch.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\WINDOWS\system32\sessmgr.exe','');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите новый карантин.
Если при загрузке не пропустить проверку диска, то через пару минут работы компьютер перезагружается.
Перезагружается в процессе проверки диска? Видимо у вас серьезное повреждение файловой системы и/или сбойные кластеры на жестком диске. Попробуйте несколько раз подряд предоставить компьютеру возможность выполнить проверку, пусть себе перезагружается. Следите за процентами в процессе проверки. Если сбой происходит каждый раз на одном месте и ситуация не меняется, скорее всего вам придется вызвать специалиста или отнести жесткий диск в мастерскую для устранения проблемы.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
C:\WINDOWS\TEMP\winlogon.exe - Trojan.Win32.Pakes.bty (уже д.б. удален).
Да, такого файла нет. Но есть 150 файлов вида ib11. Практически все они нулевого размера. Их можно удалить?
Карантин отправила.
Компьютер перезагружается не во время проверки диска, а после полной или почти полной загрузки. Мне здесь посоветовали проверить диск программой HDDScan. Bad секторы на диске не обнаружены.
Вспомнила еще. Во время всей этой атаки у меня "умер" Др.Веб. Пришлось его переустанавливать. Скажите, он настолько плох, что не только пропустил все эти вырусы, но и сам пострадал? Проверка диска Др.Вебом вирусов не обнаружила.
Можно ли вообще понять когда и откуда вирусы проникли, чтоб туда больше не заходить
Добавлено через 2 часа 24 минуты
Совсем караул какой-то
Упал MySQL сервер, не знаю что делать. Стала смотреть папку куда он установле. В каталоге bin нашла странный файл _install.exe дата создания 14.12.2007 (вчера) 20:49, размер 135168 байт. Задала его в поиск. В результате на диске С в разных папках (в основном в windows, program files, documents and settings) нашлось 144 (!) копии этого файла. Что это? И что делать?
Последний раз редактировалось Natrix; 15.12.2007 в 12:14.
Причина: Добавлено
-
во первых сделать новые логи ...
во вторых не лазить по подозрительным ресурсам ....
-
-
Junior Member
- Вес репутации
- 62
Вот новые логи. Уже нет места для их загрузки.
Последний раз редактировалось Natrix; 15.02.2008 в 13:37.
-
пофиксите ...
Код:
O4 - HKCU\..\Run: [ntfyapp] C:\WINDOWS\ntfyapp.exe
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\utg4mzi1.sys','');
DeleteFile('C:\WINDOWS\ntfyapp.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Последний раз редактировалось V_Bond; 15.12.2007 в 13:28.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Natrix; 15.02.2008 в 13:37.
-
Junior Member
- Вес репутации
- 62
Не могу добавить еще один лог.
Что значит: Файл вкладывается в сообщение. ?
-
в логах похоже чисто .... какие проблемы остались ... ?
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Natrix; 15.02.2008 в 13:37.
-
Junior Member
- Вес репутации
- 62
Проверка диска прошла, вроде не перезагрузился. Остался неработающий MySQL сервер
И что делать с теми 144 файлами?