-
Junior Member
- Вес репутации
- 60
Компьютер перегружается, а CureIt не грузится
Сначала Нод32 ругнулся на пару вирусов (один из них win32/rootkit.agent.nep). А потом комп начал перегружаться. И вот так... перегружается в течении 5-10 сек после логина в систему.
В безопасном режиме комп не перегружается, но CureIT не работает, и AVP не ставится (ругается на windows installer).
В virus.zip зархивировал карантин.
{moderated: Карантин присылается в соответствии с приложением 3 правил}
Последний раз редактировалось Gamil; 28.04.2009 в 04:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
QuarantineFile('C:\Documents and Settings\Администратор\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('Hysu87.sys','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteService('Schedule');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('Hysu87.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\Администратор\cftmon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Schedule ');
BC_DeleteSvc('msupdate ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20944
Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
сделал как написано.
и новые логи, вирус загрузил тоже
Последний раз редактировалось Gamil; 28.04.2009 в 04:20.
-
cftmon.exe,spools.exe-Trojan-Downloader.Win32.Small.trp
Скачать,меню,File,появится аналог проводника,найти:Hysu87.sys,правая кнопка мыши Force Delete.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('Hysu87.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
Скачал IceSword122en не запускается Open device Failed, error code 1073471762, потом initialize failed.
-
IceSword нужно в нормальном режиме загрузки запускать.
-
-
Junior Member
- Вес репутации
- 60
блин а в нормале комп то перегружается ?( не успеваю
Добавлено через 36 минут
Попробовал зайти в нормальном режиме, почему то комп не перегружается.
Но и Hysu87.sys найти не смог и поиском, ни в IceSword.
Добавлено через 7 минут
Перегрузился, попробовал в нормал режиме запустить CureIt... CureIt запустился и комп сразу перегружаться пошел.
(
чего делать ?
Последний раз редактировалось Gamil; 03.04.2008 в 18:25.
Причина: Добавлено
-
Зловред имя скорее всего уже сменил, паразит он этакий.
Давай вот так поступим:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntkrnl32.dll','');
DeleteFile('C:\WINDOWS\system32\ntkrnl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После этого м.б. заработает нормальный режим.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
С утра работал в нормально режиме. Потом Нод32 завопил о вирусах, выдал инфу о cftmon.exe (модифицированный win32/trojanDownloader.small.OBC).
CureIt не запускается уже и в нормлаьном режиме. При выполнении скрипта лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info, в нормальном режиме комп перегрузился.
-
давайте два оставшихся лога ...
-
-
Junior Member
- Вес репутации
- 60
Вот логи. Из safe mode комп не перегружается.
Последний раз редактировалось Gamil; 28.04.2009 в 04:20.
-
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Пофиксить
Код:
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Администратор\cftmon.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Администратор\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O20 - Winlogon Notify: ntkrnl32 - C:\WINDOWS\system32\ntkrnl32.dll
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\.//..//win.exe','');
QuarantineFile('C:\WINDOWS\system32\ntkrnl32.dll','');
QuarantineFile('Hysu87.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\cftmon.exe','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\Администратор\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\ntkrnl32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20944
Затем попробуйте в обычном режиме удалить с помощью IceSword Hysu87.sys.
Повторите логи.
Последний раз редактировалось Гриша; 04.04.2008 в 11:36.
-
-
Junior Member
- Вес репутации
- 60
Сделал.Карантин выслал.
( Объясните как вообще найти в IceSword Hysu87.sys. ? где искать, в какой из вкладок ?
В нормальном режиме комп работает пока не запускаешь проверку CureIt(странно что запустился вообще) или пока не запускаешь скрипт в Avz.
Логи сделаны из безопасного режима.
Последний раз редактировалось Gamil; 28.04.2009 в 04:20.
-
В "китайском мече" открывается окошко, похожее на проводник. В директории 'c:\windows\system32\drivers ищем Hysu87, жмем force delete
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
во )), спасибо. Удалил файлик.
Теперь в нормальном режиме не перегружается при работе AVZ. Вот логи после удаления и перезагрузки.
Последний раз редактировалось Gamil; 28.04.2009 в 04:20.
-
Junior Member
- Вес репутации
- 60
Обновил и запустил CureIt... сидит находит еще какие то вирусы и удаляет.
-
После проверки и лечения КуреИтом! сделайте и прикрепите новые логи.
-
-
Junior Member
- Вес репутации
- 60
Проверил нодом, потом проверил CureIt'ом
Последний раз редактировалось Gamil; 28.04.2009 в 04:20.
-
Откуда у Вас еще Касперский взялся? Два антивируса это вредно.
Они Вас не защищают, опять гадость имеется.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\xrxr3ui.DLL','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\.//..//win.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\.//..//win.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин и сделать новый комплект логов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
win.exe_ - Trojan-Downloader.Win32.Mutant.cj,
-