Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

Очень тяжелый случай.... (заявка № 16290)

  1. #1
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36

    Thumbs up Очень тяжелый случай....

    И еще раз Здравствуйте!
    Со вторым компьютером все совсем запущено.....
    Отчеты удалось сделать только в безопасном режиме.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    восстановление системы в безопасном режиме не отключается: "Ошибка восстановления....... Перезагрузите компьютер и повторите попытку""
    а в нормальном режиме система выдает ряд ошибок и уходит в перезагрузку.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    839
    1.В avz выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('halifax1.dll','');
     QuarantineFile('msime80.exe','');
     QuarantineFile('md4hsh.dll','');
     QuarantineFile('crypt32rt.dll','');
     QuarantineFile('C:\WINDOWS\taskmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe','');
     QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
     QuarantineFile('C:\WINDOWS\system32\bolenjx.exe','');
     QuarantineFile('C:\WINDOWS\system32\bolenja.exe','');
     QuarantineFile('C:\WINDOWS\system32\alt.exe.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\win32.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\desktop.exe','');
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\pavdrv51.sys','');
     QuarantineFile('C:\WINDOWS\system32\nvnatv.sys','');
     QuarantineFile('D:\NTACCESS.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito78aa-3a47.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito6f2e-7533.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito3d56-794e.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx05.sys','');
     QuarantineFile('C:\WINDOWS\system32\wsock3.dll','');
     QuarantineFile('C:\WINDOWS\system32\win_p5.dll','');
     QuarantineFile('C:\WINDOWS\system32\md4hsh.dll','');
     QuarantineFile('C:\WINDOWS\system32\crypt32rt.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\system32\crypt32rt.dll');
     DeleteFile('C:\WINDOWS\system32\md4hsh.dll');
     DeleteFile('C:\WINDOWS\system32\win_p5.dll');
     DeleteFile('C:\WINDOWS\system32\wsock3.dll');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\win32.exe');
     DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
     DeleteFile('C:\WINDOWS\system32\bolenja.exe');
     DeleteFile('C:\WINDOWS\system32\bolenjx.exe');
     DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
     DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
     DeleteFile('C:\WINDOWS\taskmon.exe');
     DeleteFile('crypt32rt.dll');
     DeleteFile('md4hsh.dll');
     DeleteFile('msime80.exe');
     DeleteFile('halifax1.dll');
     DeleteFile('C:\autorun.inf');
     DelBHO('{4F45C552-9688-4af2-AA57-15089900E144}');
     DelBHO('{28C703D0-B4A9-4b2f-9123-CE8294761861}');
    ExecuteRepair(1);
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(7);
    ExecuteRepair(9);
    ExecuteRepair(14);
    ExecuteRepair(16);
    BC_ImportALL;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Выслать карантин согласно приложению 3 правил

    Добавлено через 3 минуты

    Проверку CureIt делали? (2 пункт привил)
    Последний раз редактировалось zerocorporated; 11.01.2008 в 21:01. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    ПРОБЛЕМА!!!!
    Система висит на "Запуск Windows....."
    и в безопасном и в нормальном режиме

    Добавлено через 31 секунду

    ...после выполнения скрипта

    Добавлено через 4 минуты

    о, чудо - в безопасном режиме система все-таки прогрузилась!!!!

    Добавлено через 5 минут

    cureit делал - в быстром режиме он почистил несколько виров и троев, а в полном режиме подвис.... (кстати. его пришлось переименовать в Cureit.pif)
    сейчас еще раз просканирую....
    Последний раз редактировалось Awdik; 11.01.2008 в 21:22. Причина: Добавлено

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    cureit.exe - это архив.
    На здоровой машине скачиваете его, распаковываете и в распакованном виде записываете на диск. С диска запускаете _start.exe

  7. #6
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    CureIt прогнал.
    машина очень долго грузится.
    в нормальном режиме теперь работает без перезагрузки, но AVZ на скрипте леченя\карантина и сбора виснет почти сразу....
    восстановление системы отключить не удается - функция заблокирована\перехвачена.
    сейчас пробую выполнить скрипты в безопасном режиме...

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    Можно попробовать avz.exe переименовать в game.pif

  9. #8
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    1. первый скрипт прошел почти до конца, написал в конце "исследование системы..." и так и не закончился. пришлось снять задачу.
    2. второй скрипт
    в самом начале на проверке памяти виснет, обрабатывая system32\svchost.exe

    ЧТО ДЕЛАТЬ?

    Добавлено через 2 минуты

    окно "Запуск Windows" и в нормальном режиме и в безопасном (перед прорисовкой значков выбора учетных записей) грузится\висит примерно 7 минут
    Последний раз редактировалось Awdik; 12.01.2008 в 00:02. Причина: Добавлено

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    можете сделать логи авз хотя бы в безопасном режиме ?

  11. #10
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    это как раз в безопасном режиме я и пытался сделать.....

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Скачайте эту программу:
    http://www.tacktech.com/pub/winsockfix/WinsockFix.zip

    Дождитесь полной загрузки системы в нормалном режиме, запустите скачанную программу и нажмите кнопку Fix. По окончании ее работы будет перезагрузка. Запуск системы должен нормализоваться. Имейте ввиду, что программа сбрасывает настройки сетевых подключений, поэтому запишите их заранее и потом введите на место.

    Надеюсь, после этого появится возможность нормально сделать логи.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    Спасибо за помощь - я уже подумывал о сносе данных с диска...

    вчера до 5-ти часов ночи (г. Пермь - у нас + 2 часа от Москвы) просидел с чистками и попытками создания отчетов = все заканчивалось подвисанием на "выполняется исследование системы" (и занимало уйму времени).

    после winsockfix работа нормализовалась и отчеты уже сгенерил в нормальном режиме. ...
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    +
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    ....а теперь svchost.exe забрасывает ошибками приложения: " инструкция по адресу .......память не может быть "written"

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O20 - AppInit_DLLs: kus109.dat
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
    O20 - Winlogon Notify: crypt32 - C:\WINDOWS\
    O20 - Winlogon Notify: md4hsh - C:\WINDOWS\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('msfir80.exe','');
     QuarantineFile('kus109.dat','');
     QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\desktop.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\WINDOWS\system32\lrito78aa-3a47.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito6f2e-7533.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys','');
     QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
     QuarantineFile('C:\WINDOWS\system32\users32.dat','');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\MSCORE.DLL','');
     DeleteFile('C:\WINDOWS\system32\users32.dat');
     DeleteFile('C:\WINDOWS\system32\xpdx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Djo16.sys');
     DeleteFile('C:\WINDOWS\system32\lrito6f2e-7533.sys');
     DeleteFile('C:\WINDOWS\system32\lrito78aa-3a47.sys');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\Documents and Settings\LocalService\desktop.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
     DeleteFile('C:\WINDOWS\system32\kus109.dat');
     DeleteFile('C:\WINDOWS\system32\msfir80.exe');
    BC_ImportALL;
     BC_QrSvc('asc3550p');
     BC_DeleteSvc('asc3550p');
     BC_DeleteSvc('Djo16');
     BC_DeleteSvc('lrito78aa-3a47');
     BC_DeleteSvc('lrito6f2e-7533');
     BC_DeleteSvc('xpdx');
    ExecuteSysClean;
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    карантин сохранён как080112_055352_virus_4788aa5020812.zip

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    Trojan.Win32.Zapchast.dz C:\WINDOWS\system32\MSCORE.DLL
    AdWare.Win32.Agent.zo C:\WINDOWS\system32\users32.dat
    Trojan.Win32.Patched.bh C:\WINDOWS\system32\svchost.exe

    Выполните:
    Код:
    var x : Integer;
    Begin
    x := CheckFile('%windir%\system32\dllcache\svchost.exe');
    If x = 3 then
    begin
    AddToLog('>>>Файл опознан как безопасный, продолжаем');
    RenameFile('%windir%\system32\svchost.exe', '%windir%\system32\svchost.bak');
    CopyFile('%windir%\system32\dllcache\svchost.exe', '%windir%\system32\svchost.exe');
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','SFCDisable',000000000);
    BC_DeleteFile('%windir%\System32\MSCORE.DLL');
    BC_DeleteFile('%windir%\system32\svchost.bak');
    BC_Activate;
    SaveLog(GetAVZDirectory + 'cure.log');
    RebootWindows(true);
    end else
    AddToLog('>>>Файл не опознан как безопасный, стоп!');
    SaveLog(GetAVZDirectory + 'cure.log');
    end.
    Сделайте новый комплект логов и прикрепите cure.log из папки с AVZ
    Последний раз редактировалось rubin; 12.01.2008 в 15:30. Причина: исправил

  19. #18
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    ,...а вот и логи
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    49
    Вес репутации
    36
    ....это выгружено до последнего скрипта.

    Добавлено через 4 минуты

    а скажите, пожалуйста, из-за чего вчера вечером система загибалась после первого скрипта? это связано со скриптом zerocorporated или так совпало?
    Последний раз редактировалось Awdik; 12.01.2008 в 15:20. Причина: Добавлено

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    Тогда после скрипта из поста 17 логи не делайте, выполните скрипт в посте 17, затем этот скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('%WINDIR%\SYSTEM32\msfir80.exe');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Iot85.sys');
     BC_ImportDeletedList;
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Iot85.sys');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Iot85');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    И только потом логи

    Добавлено через 1 минуту

    это связано со скриптом zerocorporated или так совпало?
    Ничего, что могло бы это вызвать, в том скрипте нет
    Последний раз редактировалось rubin; 12.01.2008 в 15:22. Причина: Добавлено

  • Уважаемый(ая) Awdik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Винлокер - тяжелый случай =(
      От AnyaBest в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.07.2011, 20:16
    2. Тяжелый случай
      От DasTPID в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 29.07.2010, 11:04
    3. Тяжелый случай
      От Antonnio в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.07.2009, 02:43
    4. Руткит-невидимка, тяжелый случай
      От ZeroDance в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 03.04.2009, 23:09
    5. Ответов: 24
      Последнее сообщение: 23.11.2007, 08:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01660 seconds with 18 queries