Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 49.

Выполнен вредоносный код, приведший к краху (заявка № 16703)

  1. #1
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    62

    Thumbs up Выполнен вредоносный код, приведший к краху

    Добрый день!
    В результате запуска исполняемого вредоносного файла и последующей перезагрузки произошло следующее (единственная прога которую смог нормально запустить и использовать для сбора инфы - Security Task Manager):
    1. KIS7.0.0.125 более не загружается, "данное приложение не является win32".
    2. В списке процессов после загрузки системы из папки windows/system32 появились: wintems.exe,hldrrr.sys, и их производные вида хххххх.exe (где хххххх - всегда цифры) в папке windows/system32/drivers/down.
    А также подозрителен: checkweb.dll. Первые три из этих процессов периодически самозапускаются и начинают что-то делать (грузят систему)...
    3. После загрузки, в Инет шлются запросы на всякие сайты...
    4. Установка любых антивирусов бесполезна, т. к. после перезагрузки их невозможно запустить, "данное приложение не является win32".
    5. Перезагрузка в безопасный режим приводит к синему экрану смерти.
    6. Запуск AVZ.EXE невозможен, "данное приложение не является win32".
    7. Запуск HiJackThis.exe приводит к ошибкам.
    8. Большинство нужных программ автозапуска не запускаются при старте системы.
    Создал KISом загрузочный диск восстановления и просканировал систему - все время находит вирус-червь wintems.exe, но после удаления и перезагрузки опять все по-старому.
    Однако некоторые программы и Инет работает ( оно видимо паразитам тоже нужено ).
    Есть ли у меня возможность восстановить все или единственный выход - переустанавливать систему?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1720
    Переименуйте AVZ в 546.pif и делайте логи.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1526
    скачать в IceSword сделайте логи процессов и сервисов и Kernel Module ... сохраните и прикрепите к сообщению ......

  5. #4
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    62
    После перезагрузки и перед изготовлением логов удалять с помощью Security Task Manager вредоносные процессы или нет?

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1526
    делайте логи .... потом будем все удалять

  7. #6
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    62
    Цитата Сообщение от Maxim Посмотреть сообщение
    Переименуйте AVZ в 546.pif и делайте логи.
    Переименование AVZ.EXE в Проводнике невозможно - он подвисает, приходится закрывать...

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1526
    качайте IceSword ...

  9. #8
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    62
    Цитата Сообщение от V_Bond Посмотреть сообщение
    качайте IceSword ...
    Скачал, ознакомился, запустил Reboot and Monitor. А где смотреть лог этого результата мониторинга?
    Далее НЕ ВЫГРУЖАЯ ЗЛОВРЕДОВ сделал все возможные логи. Не все логи сделать получилось... Подскажите, если что не так.... Жду дальнейших указаний... Большое спасибо за участие...
    Вложения Вложения
    • Тип файла: rar Logs.rar (3.9 Кб, 8 просмотров)

  10. #9
    Geser
    Guest
    А вот эти подозрительные файлы можете заархивировать с паролем virus и закачать сюда http://virusinfo.info/upload_virus.php?tid=16703 ?

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1526
    C:\WINDOWS\system32\drivers\srosa.sys
    C:\WINDOWS\system32\drivers\down\164453.exe
    C:\WINDOWS\system32\wintems.exe
    C:\WINDOWS\system32\drivers\hldrrr.exe
    удалите ... IceSword ... (кнопка File находите нужный файл <delete> )

  12. #11
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    62
    После удаления этих файлов и перезагрузки HLDRRR.EXE появился вновь в списке процессов, создалась папка DOWN и пошел трафик в Инет на всяческие сомнительные сайты. Интересно, как себя восстанавливает этот HLDRRR.EXE? Что и где еще посмотреть?
    Поправка: ВСЕ ПРОЦЕССЫ ЗАГРУЖАЮТСЯ ВСЕ РАВНО ПРИ ПЕРЕЗАГРУЗКЕ !!!!
    WINTEMS.EXE, HLDRRR.EXE, (123456.EXE и подобные). Я в печали...
    И еще: WINTEMS.EXE запускается неким GERMAN.EXE. Последний полезный или его тоже удалить?
    Итак, в результате: физич. удаление с диска и записей реестра ни к чему, увы, не приводит...
    Последний раз редактировалось vladi; 20.01.2008 в 21:24.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1526
    кроме указанных файлов удалите в IceSword ключи реестра ...

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    german.exe
    C:\WINDOWS\system32\wintems.exe

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    drvsyskit
    C:\WINDOWS\system32\drivers\hldrrr.exe
    удалите все антивирусы ...
    попробуйте сделать логи авз ...

  14. #13
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    62
    1. Удалил все антивирусы.
    2. Удалил файлы.
    3. Удалил записи реестра.
    4. Перезагрузка.
    5. Создал логи по новой. Проблема остается.
    6. Утилита AVZ.exe переименовал в Проводнике Nero - и это получилось. Запуск 546.pif привел к сообщению: "данное приложение не является win32".
    7. Попытки заархивировать файлы и выслать на указанный адрес неудачны, т. к. эти файлы видятся только в IceSword и их нельзя в нем заархивировать - нет такой команды (или не нашел?). Можно правда скопировать куда-либо, но толку?

  15. #14
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    62
    Прилагаю логи.
    И еще вопрос: как мне теперь сделать лог загрузки моего ноута?
    Вложения Вложения
    • Тип файла: rar Logs2.rar (5.5 Кб, 4 просмотров)

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1526
    в IceSword убиваете процессы (Process -Terminate process)

    C:\WINDOWS\system32\wintems.exe
    C:\WINDOWS\system32\drivers\down\162328.exe
    C:\WINDOWS\system32\drivers\hldrrr.exe

    удаляете файлы ...
    C:\WINDOWS\system32\drivers\srosa.sys
    C:\WINDOWS\system32\drivers\down\164453.exe
    C:\WINDOWS\system32\drivers\down\162328.exe
    C:\WINDOWS\system32\wintems.exe
    C:\WINDOWS\system32\drivers\hldrrr.exe

    ключи реестра ...
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    german.exe
    C:\WINDOWS\system32\wintems.exe

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    drvsyskit
    C:\WINDOWS\system32\drivers\hldrrr.exe

    удалите полностью папку ....
    C:\WINDOWS\exefq

  17. #16
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    62
    Цитата Сообщение от V_Bond Посмотреть сообщение
    удалите полностью папку ....
    C:\WINDOWS\exefq
    Я проделал все действия, правда указанной вами папки не нашел. При перезагрузке все файлы восстанавливаются, их поведение тоже. ИМХО, нет смысла продолжать...

    МНЕ УДАЛОСЬ НАЙТИ ИСХОДНЫЙ ЗЛОВРЕДНЫЙ ФАЙЛ КОТОРЫЙ ПРИВЕЛ К ЭТИМ ПЕЧАЛЬНЫМ ПОСЛЕДСТВИЯМ. Я ОТПРАВИЛ ЕГО ВАМ ПО ВЫШЕУКАЗАННОМУ АДРЕСУ ПОД ИМЕНЕМ hldrrrVirus.zip.

    С ним надо очень осторожно - начинает плодиться при любом обращении...

    Прошу сообщить есть ли смысл бороться дальше или ставить систему заново?

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    78
    Trojan-Downloader.Win32.Bagle.ik вот что вы прислали
    Microsoft Most Valuable Professional in Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    62
    И что мне делать????? Ни один антивирус не поставить, не запустить, удаление вирусных файлов ничего не дает, чистка рееестра тоже. Может есть некая утилитка, заточенная исключительно под данный вирус?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1526
    делать тоже самое ..... но не перегружаться .... !!!
    после проделанных операций попробуйте запустить свежий Cureit (не перегружаясь) ... и просканировать систему ...

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1388
    А восстановление системы отключено?

  • Уважаемый(ая) vladi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Вредоносный сайт
      От Salavat90 в разделе Общая сетевая безопасность
      Ответов: 3
      Последнее сообщение: 11.12.2010, 05:38
    2. Подозрение на вредоносный код
      От HeaD в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.03.2010, 19:53
    3. Вредоносный вирус....
      От bulldog в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.06.2009, 20:20
    4. Вредоносный руткит!
      От Максут в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.07.2008, 12:31
    5. Новый патч от Microsoft приводит к краху системы
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 17.04.2006, 14:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00881 seconds with 17 queries