Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 58.

Уважаемые помогите пожалуйста вылечить bcp78.sys (Trojan.Pentax) (заявка № 16443)

  1. #1
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    39

    Thumbs up Уважаемые помогите пожалуйста вылечить bcp78.sys (Trojan.Pentax)

    Уважаемые здравствуйте

    на экране машины вываливается сообщение что заблокировано выполнение программы и sav10 выдает сообщение что нашел Trojan.Pentax в файле c:\windows\system\drivers\bcp78.sys (этот же bcp78.sys лежит и в c:\windows\)
    (рекомендации с сайта дядькит Нортона не помогают так как указанных там в рекомендации веток реестра у меня нет)
    а еще находит smtpdrv.sys
    Последний раз редактировалось taishigo; 04.03.2008 в 18:02.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    а лог HJT ?

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('Rnt36');
     StopService('Bcp78');
     DelBHO('E4B4FEAA-FC1B-488d-9AA4-EDD924EAA809');
     QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Bcp78.sys','');
     QuarantineFile('c:\windows\system32\vhosts.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Rnt36.sys','');
     QuarantineFile('C:\WINDOWS\Bcp78.sys','');
     DeleteFile('C:\WINDOWS\Bcp78.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Rnt36.sys');
     DeleteFile('c:\windows\system32\vhosts.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bcp78.sys');
     DeleteService('Rnt36');
     DeleteService('Bcp78');
     DeleteService('msupdate');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  5. #4
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    39
    лекарство не помогло - диагноз прежний
    Generic Host Process for W32 Service вызвал проблему и требует завершения
    и свнова окошо SAV об обнаружении того же самого bcp78.sys

    сейчас карантин пришлю
    (пошел правила читать - а это в прошлый раз файл с вирусом выложил прямо в тему - заработал "благодарность" от всего прогрессивного человечества)

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Где повторные логи? Firewall на компьютере есть? Если нет, включите Windows Firewall.

  7. #6
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    39
    карантин ушел

    Добавлено через 1 час 44 минуты

    FireWall защищает всю сетку и в инет весь народ ходит через прокси (squid)
    повторный запуск стандартного скрипта (№3) вызывает "самопроизвольную" перезаругку системы
    попробую завтра с утра в безпосном режиме прогнать скрипт
    Последний раз редактировалось taishigo; 15.01.2008 в 14:26. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    39
    от еще странный эффект на машине происходит
    в папке c:\windows\pchealth\ERRORREP\UserDump\ куча файлов
    типа svchost.exe2008...hdmp - весь диск С забит.

    (стандартные скрипты AVZ удалось выполнить только в безопасном режиме)
    Последний раз редактировалось taishigo; 04.03.2008 в 18:02.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     StopService('FCI');
     StopService('Rnt36');
     StopService('Bcp78');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     DeleteFile('C:\WINDOWS\Bcp78.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Rnt36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bcp78.sys');
     DeleteService('FCI');
     DeleteService('Rnt36');
     DeleteService('Bcp78');
     SysCleanAddFile('drive01.dll');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Попробуйте сделать логи в нормальном режиме. Очистите ПК от мусора. Подробнее здесь.

  10. #9
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    39
    диагноз прежний - выскакивает окно с ошибкой Generic host...
    но зато удалось прогнать avz в обычном режиме
    вот логи
    Последний раз редактировалось taishigo; 04.03.2008 в 18:02.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     SetAVZGuardStatus(true);
     DeleteFile('c:\windows\system32\vhosts.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Rnt36.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     BC_ImportDeletedList;
     BC_Activate;
     SysCleanAddFile('Pqr50.sys');
     SysCleanAddFile('c:\windows\system32\vhosts.exe');
     SysCleanAddFile('C:\WINDOWS\System32\Drivers\Rnt36.sys');
     SysCleanAddFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи. Включите Windows Firewall.
    Последний раз редактировалось Макcим; 16.01.2008 в 13:04.

  12. #11
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    39
    a firewall зачем включать ?
    (повторюсь вся сеть сидит за freebsd+ipfw+nat+squid)

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Включите... Посмотрим что будет.

  14. #13
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    39
    окошко с ошибкой generic host перестало выскаивать
    но при перезагрузке вывалилось окошко "система восстановлена после серьезной ошибки", хотя функция восстановления откючена давно
    и выполнить скрипты avz не удалось машина самопроизвольно перегрузилась

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Попробуйте выполнить скрипт ещё раз, я внес в него некоторые правки.

  16. #15
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    39
    выполил обновленный скрипт, фаервол включил
    окошки не выскаивают
    подождем денек о результатах отпишусь

    Добавлено через 1 минуту

    сканирование AVZ не смогу сейчас сделать - сижу удаленно
    Последний раз редактировалось taishigo; 16.01.2008 в 14:02. Причина: Добавлено

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Как только сможете, делайте логи. Разберитесь также где утечка, кто-то машину атакует не смотря на все прокси...

  18. #17
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    39
    не помогло
    при перезагрузке вываливается окно "система восстановлена после серьезной ошибки"
    запуск 3-го скрипта AVZ вызывает перезагруз машины

    сделал сканирование в безопасном режиме

    (и еще одна фигня у всех узеров при печати на сетевых принтерах hp2015dn если есть таблицы (например в xls) то в документе печатается только текст)
    Последний раз редактировалось taishigo; 04.03.2008 в 18:01.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните такой скрипт в AVZ:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Pqr50\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Pqr50.sys');
     BC_DeleteSvc('Pqr50');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Pqr50.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
     end.
    После перезагрузки повторите лог syscheck (п.10 правил)
    и прикрепите файл boot_clr.log из папки с AVZ.
    I am not young enough to know everything...

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    если выше сказанное проблему не решит ...
    можно провести еще такую пртседуру ...
    скачать ...
    - отключить антивирус
    - оключиться от интернета
    tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\drivers\Pqr50.sys - direct file content wiping - do operation - закрыть программу..
    - перезагрузится ...
    выполните скрипт ...
    Код:
    begin
     BC_DeleteSvc('Pqr50');
     BC_Activate;
     RebootWindows(true);
    end.
    повторите логи ...

  21. #20
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    203
    Вес репутации
    39
    Система не может загрузится

    Добавлено через 41 секунду

    после последнего лечения
    Последний раз редактировалось taishigo; 17.01.2008 в 11:53. Причина: Добавлено

  • Уважаемый(ая) taishigo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 13.08.2009, 15:09
    2. Помогите вылечить заразу, пожалуйста.
      От emishin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.07.2009, 19:21
    3. Помогите вылечить комп пожалуйста!!!!
      От janus в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.04.2009, 23:15
    4. Ответов: 1
      Последнее сообщение: 17.03.2009, 16:35
    5. Помогите пожалуйста вылечить комп!!!
      От vlad_1976 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.10.2008, 15:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00739 seconds with 16 queries