Показано с 1 по 14 из 14.

Перезагрузка компьютера (заявка № 18363)

  1. #1
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    7
    Вес репутации
    36

    Thumbs up Перезагрузка компьютера

    Компьютер перезагружается через ~1 мин. после загрузки с сообщением (от spool.exe), что Windows закрывается. И так непрерывно.
    Дальше хотел пойти по вашей инструкции.
    Загрузился в Safe Mode.
    Сбросил на компьютер свежескаченный CureIT! с обновленной базой.
    Попытка запуска файлом cureit.exe не увенчалась успехом.
    Переименовал его в cu.com. Запустилось.
    Очень долго сканировалось. Найдено много вирусов и неаколько троянов.
    Все вылечено, а что не вылечено - удалено. Есть лог.

    Загрузился в нормальном режиме. И опять все то же самое.
    Что делать?
    Последний раз редактировалось SergeZ; 20.02.2008 в 17:54.
    UseR

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте логи в безопасном для начала.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    7
    Вес репутации
    36
    В Safe Mode AVZ запустился только с переименованием в z.com.
    После выполнения первого скрипта попытался загрузиться нормально.
    В результате - опять уход в перезагрузку.

    Снова в Safe Mode AVZ запустил второй скрипт. ОК.
    Hijack тоже не запустился. Запустил его как 1.bat .

    Высылаю файлы.
    Вложения Вложения
    UseR

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\System32\cru629.dat','');
     QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\vbwr.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\vbwr.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\spool.exe');
     DeleteFile('C:\WINDOWS\System32\cru629.dat');
     DeleteFile('C:\WINDOWS\System32\braviax.exe');
     BC_ImportAll;
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     BC_DeleteSvc('Beep');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18363

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
    O4 - HKLM\..\Run: [braviax] braviax.exe
    O4 - HKUS\S-1-5-18\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe (User 'SYSTEM')
    O4 - Global Startup: vbwr.exe
    O20 - AppInit_DLLs: cru629.dat

    У Вас Windows без сервиспаков вообще!!! Надо срочно ставить SP2

  6. #5
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    7
    Вес репутации
    36
    После выполнения скрипта комп загрузился в нормальном режиме!
    Профиксил, но не все: не обнаружил в окне HijackThis 5 и 6 строки.

    Windows сообщает, что комп инфицирован.

    Что мне делать дальше?
    UseR

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    сделайте новые логи ... в нормальном режиме ...

  8. #7
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    7
    Вес репутации
    36
    Высылаю новые логи.
    Вложения Вложения
    UseR

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\users32.dat','');
     QuarantineFile('C:\Documents and Settings\Toshiba Customern\msftp.dll','');
     QuarantineFile('c:\windows\system32\drivers\spool.exe','');
     QuarantineFile('c:\documents and settings\toshiba customern\local settings\application data\cftmon.exe','');
     QuarantineFile('c:\windows\braviax.exe','');
     DeleteFile('c:\windows\braviax.exe');
     DeleteFile('c:\documents and settings\toshiba customern\local settings\application data\cftmon.exe');
     DeleteFile('c:\windows\system32\drivers\spool.exe');
     DeleteFile('C:\Documents and Settings\Toshiba Customern\msftp.dll');
     DeleteFile('C:\WINDOWS\System32\users32.dat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ....

  10. #9
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    7
    Вес репутации
    36
    Высылаю новые логи.
    Вложения Вложения
    UseR

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите
    Код:
    O4 - HKLM\..\Run: [braviax] braviax.exe
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\msftp.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи начиная с пункта 10 правил ...

  12. #11
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    7
    Вес репутации
    36
    Еще логи!
    Вложения Вложения
    UseR

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах чисто ....
    стоит закрыть лишнее из списка ...
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Messenger)
    >> Службы: разрешена потенциально опасная служба Alerter (Alerter)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

  14. #13
    Junior Member Репутация
    Регистрация
    20.02.2008
    Сообщений
    7
    Вес репутации
    36
    Всем Helper-ам РЕСПЕКТ!!!!
    UseR

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\start menu\\programs\\startup\\vbwr.exe - not-a-virus:FraudTool.Win32.UltimateDefender.bl (DrWEB: Trojan.MulDrop.10874)
      2. c:\\documents and settings\\localservice\\local settings\\application data\\cftmon.exe - Trojan-PSW.Win32.Agent.ze (DrWEB: Trojan.MulDrop.11811)
      3. c:\\documents and settings\\toshiba customern\\local settings\\application data\\cftmon.exe - Trojan-PSW.Win32.Agent.ze (DrWEB: Trojan.MulDrop.11811)
      4. c:\\documents and settings\\toshiba customern\\msftp.dll - Worm.Win32.Socks.r (DrWEB: Trojan.DownLoader.44897)
      5. c:\\windows\\braviax.exe - not-a-virus:FraudTool.Win32.UltimateDefender.ax (DrWEB: Trojan.Fakealert.426)
      6. c:\\windows\\system32\\braviax.exe - not-a-virus:FraudTool.Win32.UltimateDefender.ax (DrWEB: Trojan.Fakealert.426)
      7. c:\\windows\\system32\\cru629.dat - Backdoor.Win32.Small.cvu (DrWEB: Trojan.Proxy.1739)
      8. c:\\windows\\system32\\drivers\\beep.sys - Backdoor.Win32.UltimateDefender.a (DrWEB: Trojan.Fakealert.439)
      9. c:\\windows\\system32\\drivers\\spool.exe - Trojan-PSW.Win32.Agent.ze (DrWEB: Trojan.MulDrop.11811)
      10. c:\\windows\\system32\\users32.dat - not-a-virus:AdWare.Win32.Agent.zo (DrWEB: Trojan.Click.5043)


  • Уважаемый(ая) SergeZ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Перезагрузка компьютера
      От Alce в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 31.05.2010, 13:04
    2. Перезагрузка компьютера
      От SHER в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 14.08.2009, 22:35
    3. Перезагрузка компьютера
      От astral в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 24.02.2009, 14:02
    4. Перезагрузка компьютера
      От Tasha9 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 03:25
    5. Перезагрузка компьютера
      От pory4ik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.02.2008, 15:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01182 seconds with 17 queries