Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Не запускается AVZ, безопасный режим, долго загружается рабочий стол. (заявка № 21993)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    14
    Вес репутации
    36

    Thumbs down Не запускается AVZ, безопасный режим, долго загружается рабочий стол.

    День добрый, кажется подхватила какой-то вирус.
    Восстановление системы отключила.
    AVZ ткрывается и гаснет через 4 секунды. Но вчера удалось реанимировать безопасный режим и Cureit.exe выдал srvany.exe подозрение на вирус. БОльше ничего не нашел. семантик и adaware тоже.
    Сегодня безопасный режим и AVZ опять не работают.

    Спасибо!
    Елена
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скачайте переименованный IceSword (его exe-файл в hockey.pif)
    Запустите программу.
    Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Оба лога запакуйте в один архив и прикрепите архив.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    avptool запускать пробовала? там есть возможность сделать лог avz http://avptool.virusinfo.info/ru/AVPTool_manual.htm

  5. #4
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    14
    Вес репутации
    36

    Сделано

    Цитата Сообщение от wise-wistful Посмотреть сообщение
    Скачайте переименованный IceSword (его exe-файл в hockey.pif)
    Запустите программу.
    Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Оба лога запакуйте в один архив и прикрепите архив.
    Сделано
    Вложения Вложения

  6. #5
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Запустите IceSword, зайдите слева в меню "Processes"
    Выберите:
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    И если есть windows\system32\mdelk.exe
    Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

    Потом внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файлы и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe

    Посмотрите там, есть ли папка WINDOWS\system32\drivers\down
    если есть, то force delete для папки down (папка называется down, ни в коем случае не перепутайте с папкой drivers)

    Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
    параметр называется "drvsyskit", удалите его.

    Найдите параметр
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
    параметр называется "german.exe", удалите его.

    Посмотрите, есть ли ключ реестра
    HKEY_CURRENT_USER\Software\FirstRRRun
    Если есть, удалите ключ FirstRRRun.

    Посмотрите, есть ли ключи реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
    Если есть, удалите в них ключ srosa.
    Перезагрузите компьютер.

    Пробуйте запустить АВЗ. Если не получается, скачайте АВЗ ещё раз.

  7. #6
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    14
    Вес репутации
    36
    Есть папка C:\WINDOWS\system32\drivers\downld удалять?

    а также (на всякий случай заодно спрошу):
    C:\WINDOWS\system32\drivers\disdn
    C:\WINDOWS\system32\drivers\etc
    C:\WINDOWS\system32\drivers\umdf ?

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Эту C:\WINDOWS\system32\drivers\downld нужно тоже удалить

  9. #8
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    14
    Вес репутации
    36

    Итерация №2

    Этогоненашла: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
    Этогоненашла: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"

    Посмотрите, естьлиключреестра
    HKEY_CURRENT_USER\Software\FirstRRRun
    Если есть, удалите ключ FirstRRRun. Удалила!

    Посмотрите, есть ли ключи реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa Удалила!

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosaУдалила!

    Папку в System32\drivers\down что то там тоже удалила - там были одни экзешники

    Теперь ситуация:
    1. Безопасный режим пока не заработал - перестал даже вылетать в перезагрузку, просто зависает.
    2. Заработал Симанте и сразу начал чичтить и помещать в карантин следующие вирусы:
    Hacktool.Rootkit http://securityresponse.symantec.com...011710-0057-99
    Trojan Horse http://securityresponse.symantec.com...021914-2822-99

    3. ЗАработал AVZ
    Логи теперь:
    Вложения Вложения

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\winio.sys','');
     QuarantineFile('ldr64.dll','');
     QuarantineFile('C:\WINDOWS\System32\service.exe','');
     DeleteFile('ldr64.dll');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(10);
    BC_Activate;
    RebootWindows(true);
    
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21993

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - Winlogon Notify: ldr64 - ldr64.dll (file missing)

  11. #10
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    14
    Вес репутации
    36

    Следующая итерация №3

    После прогона скрипата заработал Безопасный режим ,
    однако рабочий стол и мои Setings загружаются очень долго.
    Файл карантина послала.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    winio.sys

    Вредоносный код в файле не обнаружен.

  13. #12
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    14
    Вес репутации
    36

    Присылаю логи еще раз

    Присылаю логи еще раз
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Скачайте и проверьте компьютер самой свежей версией AVPTool, на случай, если от червя что-нибудь завалялось.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    14
    Вес репутации
    36

    Еще два новых файла в карантине после проверки!

    Цитата Сообщение от Гриша Посмотреть сообщение
    winio.sys

    Вредоносный код в файле не обнаружен.
    Почему-то в прошлый раз у меня не отобразилось в карантине еще два файла! Теперь они там есть и я их посылаю!
    Спасибо!

    Добавлено через 1 минуту

    Цитата Сообщение от kps Посмотреть сообщение
    Скачайте и проверьте компьютер самой свежей версией AVPTool, на случай, если от червя что-нибудь завалялось.
    Буду пытаться, хотя, честно говоря, уже не верю, что поможет!
    Просто процесс будет очень долгий
    Последний раз редактировалось 00elen; 24.04.2008 в 13:57. Причина: Добавлено

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Почему же не верите, Вы уже удалили активные файлы одного из самых трудноудаляемых червей, а это большое достижение.

    После проверки AVPTool, выполните такой скрипт в AVZ:
    Код:
    begin
      DeleteFile('C:\WINDOWS\System32\service.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('WSCM');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи, начиная с пункта 10 правил.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  17. #16
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    14
    Вес репутации
    36

    Готово

    Сделано! При загрузке Виндов, после логотипа Windows на черном фоне долго горит черный экран, загрузка Settings и рабочего стола производится дого, правда это, может можно исправить обновив систему поверх старой, пока не пробовала.
    Вот логи:
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('D:\Games\crack\showcase.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин.

    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: ldr64 - C:\WINDOWS\
    По поводу долгой загрузки - зайдите в
    Пуск - Выполнить - напишите msconfig - ok - на закладке "Автозапуск" уберите птички со всего ненужного Вам для автозагрузки при старте Windows, сохраните изменения и перезагрузите компьютер.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  19. #18
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    14
    Вес репутации
    36
    Все сделала, карантин отправила.
    Спасибо!

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    DeleteFile('D:\Games\crack\showcase.exe ');
    RebootWindows(false);
    end.
    Повторите последний лог.

  21. #20
    Junior Member Репутация
    Регистрация
    24.04.2008
    Сообщений
    14
    Вес репутации
    36

    Последние логи

    Точнее НОВЫЕ, а то "последние" звучит фатально.
    Вложения Вложения

  • Уважаемый(ая) 00elen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 19.12.2011, 22:24
    2. Не загружается безопасный режим
      От wolya в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.10.2011, 17:26
    3. Ответов: 13
      Последнее сообщение: 13.11.2010, 16:48
    4. Не загружается безопасный режим
      От alx_rad в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.11.2010, 21:21
    5. Не загружается безопасный режим.
      От dukunu.masta в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 02.04.2010, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01085 seconds with 17 queries