Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

слетели службы XP, не ставятся антивирусы [Rootkit.Win32.Necurs.jc ] (заявка № 157068)

  1. #1
    Junior Member Репутация
    Регистрация
    21.08.2010
    Сообщений
    22
    Вес репутации
    50

    слетели службы XP, не ставятся антивирусы [Rootkit.Win32.Necurs.jc ]

    Очень прошу помощи!! Началось с вируса. Троян и руткиты. Стоял Microsoft Security Essentials - он и поймал, удалил. Сделала быструю проверку, перегрузила - слетела с антивируса защита в режиме реального времени. в службах XP - служба "Автоматического обновления" вообще отсутствует, через ftp вирус пробрался на хостинг. пробовала Not-32 - не ставится, avast - ставится, запускается, но не работает. Security пробовала по всякому - защита в режиме реального времени не появляется. AVPTool - один раз запустился, нашел букет, потом - ни в какую. Вирус . в общем беда да и только.
    да, в инструкции сказано должно быть 3 файла - у меня virusinfo_syscure.zip не появляется, все по инструкции делала... сразу syscheck.zip

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) miraland, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\Drivers\777f3568d1e00bf5.sys','');
     QuarantineFile('C:\Documents and Settings\user-pc\Local Settings\Temp\Ajteev\ijow.exe','');
     DeleteFile('C:\Documents and Settings\user-pc\Local Settings\Temp\Ajteev\ijow.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ijow');
     DeleteFileMask('C:\Documents and Settings\user-pc\Local Settings\Temp\Ajteev', '*', true, ' ');
     DeleteDirectory('C:\Documents and Settings\user-pc\Local Settings\Temp\Ajteev');    
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;   
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O4 - HKCU\..\Run: [Ijow] "C:\Documents and Settings\user-pc\Local Settings\Temp\Ajteev\ijow.exe"
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Загрузите GMER по одной из указанных ссылок:
      Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    2. Временно отключите драйверы эмуляторов дисков.
    3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
    4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

      • Sections
      • IAT/EAT
      • Show all
    6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    21.08.2010
    Сообщений
    22
    Вес репутации
    50
    Выполнила 2 первых скрипта. получила файл карантина guarantine.zip - не смогла загрузить через "прислать запрошенный карантин" - ответ:
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен.
    ????

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Выполняйте остальное. В карантин ничего не попало.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    21.08.2010
    Сообщений
    22
    Вес репутации
    50

    Отчет

    По порядку:
    1. Выполнила в AVZ скрипты, сохранился quarantine.zip, но отправить его я так и не смогла. С тем же результатом - Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен.
    2. Пофиксить в HiJackThis не удалось - такой строки нет. Повторные логи сделала все равно: по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )"
    3. Загрузила Grem со случайным именем. отключила драйверы, запустила программу - комп ругнулся - как именно - сделала скрин grem1.jpg
    4. Лог Grem получился.

    - - - Добавлено - - -

    кстати, интересное дело - я изменила название файла карантина, который не отправлялся - результат тот-же. Система его не пропускает. -
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 7p8gmebc.exe случайное имя утилиты (gmer)
    Код:
    7p8gmebc.exe -del service 777f3568d1e00bf5
    7p8gmebc.exe -del file "C:\WINDOWS\System32\Drivers\777f3568d1e00bf5.sys"
    7p8gmebc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\777f3568d1e00bf5"
    7p8gmebc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\777f3568d1e00bf5"
    7p8gmebc.exe -reboot
    И запустите сохранённый пакетный файл cleanup.bat.

    Внимание: Компьютер перезагрузится!

    Сделайте новый лог gmer.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    21.08.2010
    Сообщений
    22
    Вес репутации
    50
    все сделала запустила сохранённый пакетный файл cleanup.bat. - и комп стал ругаться. скрин отсылаю. Компьютер не перезагружался.
    лог gmer я на всякий случай все равно сделала - в приложении

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    GMER не справляется. Сделайте лог TDSSKiller.

    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Запустите файл TDSSKiller.exe.
    3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
    4. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    8. Самостоятельно без указания консультанта ничего не удаляйте!!!
    9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    10. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    21.08.2010
    Сообщений
    22
    Вес репутации
    50
    готово. у меня получилось 2 лога - отсылаю оба. и варианта "Лечение" не было. или убить, или карантин. я поставила карантин.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    2. Запакуйте эту папку в архив с паролем "virus";
    3. Полученный архив отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    Запустите еще раз TDSSKiller для объекта C:\WINDOWS\System32\Drivers\777f3568d1e00bf5.sys выберите удаление (Delete). После удаления и перезагрузки сделайте новый лог TDSSKiller.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    21.08.2010
    Сообщений
    22
    Вес репутации
    50
    готово. файл карантина тоже отправился.

    - - - Добавлено - - -

    и "любимый" svchost тут же принялся грузить проц на 100%...

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Сделайте новый лог GMER
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    21.08.2010
    Сообщений
    22
    Вес репутации
    50
    что я могу сказать... все как бы стало на места. автообновление, смогла поставить анитвирус винды, он даже "позеленел" - потом пошла за логом gmer. снесла антивирус, отключила драйвера, отключила брандмауэр, перегрузила, запустила Gmer - он без глюков запустился, ничего не нашел на первом этапе, я поставила галку на диске С:\. долго работал, а потом снес мне систему.
    появился синий экран с текстом
    ошибка KERNEL_STACK_INPAGE_ERROR
    че с этим делать - я точно не знаю.
    внизу еще код был 0хС0000007

    винда начинает грузится, появляется заставка с надписью Windows и бегающей строкой и на этом все. дальше загрузка не идет.
    Последний раз редактировалось miraland; 22.03.2014 в 11:21.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    В безопасном режиме компьютер грузится?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Junior Member Репутация
    Регистрация
    21.08.2010
    Сообщений
    22
    Вес репутации
    50
    комп загрузился в обычном режиме. я его включила - и оставила. он минут за 30-40 таки загрузился. пробовала перегрузить - очень тормозит, причем весь. на загрузку может уйти минут 5-10. и все действия ну очень медленны..

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Сделайте лог DrWebCureit. Лог запакуйте в архив и прикрепите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    + Когда просканируете CureIt он найдёт заражённый драйвер
    Код:
    C:\WINDOWS\System32\Drivers\777f3568d1e00bf5.sys
    и предложит его вылечить, согласитесь с этим.

    После этого сделайте новый лог TDSSkiller

  20. #19
    Junior Member Репутация
    Регистрация
    21.08.2010
    Сообщений
    22
    Вес репутации
    50
    лог DrWebCureit готов

    - - - Добавлено - - -

    лог TDSSkiller . сейчас перегружусь, повторю еще раз.
    у меня не прикрепляется этот лог.
    а в менеджере вложений есть способность удалять лишнее?
    Написано: Загруженные файлы которые не используются будут удалены в течении часа - а у меня там файлы болтаются с 2010 года. как его самостоятельно очистить?

    - - - Добавлено - - -

    лог TDSSkiller . сейчас перегружусь, повторю еще раз.
    у меня не прикрепляется этот лог.
    а в менеджере вложений есть способность удалять лишнее?
    Написано: Загруженные файлы которые не используются будут удалены в течении часа - а у меня там файлы болтаются с 2010 года. как его самостоятельно очистить?

    - - - Добавлено - - -

    таки справилась со вложениями, прошу прощения за бестолковость

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Кажется добили руткит.

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  • Уважаемый(ая) miraland, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Блокируется интернет. Антивирусы не ставятся.
      От Елена_82 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.11.2013, 20:24
    2. Ответов: 0
      Последнее сообщение: 03.01.2011, 02:59
    3. не ставятся антивирусы на ноут!
      От devays в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 06.05.2010, 12:54
    4. Не ставятся антивирусы
      От Dunkelheit в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.11.2008, 16:24
    5. Ответов: 7
      Последнее сообщение: 06.11.2008, 14:30

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00623 seconds with 19 queries