Показано с 1 по 9 из 9.

XP SP2 не грузится после лечения Trojan-Proxy.Win32.Small.my/ Trojan.Win32.SubSys.d и многих других (заявка № 23795)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    6
    Вес репутации
    35

    Exclamation XP SP2 не грузится после лечения Trojan-Proxy.Win32.Small.my/ Trojan.Win32.SubSys.d и многих других

    Здравствуйте.
    Имею две системы (XP SP1 и XP SP2) на разных логических дисках. Пару дней назад XP SP2 начала показывать признаки заражения: не запускается опера, глючит ехплорер (яндех не пашет и т.д.), не грузится каспер, и т.д. Я загрузил вторую систему - XP SP1 и с нее вылечил зараженную систему XP SP2 стареньким касперским 4,5-ым (с обновленными базами), все зараженный файла лечиться не хотели пришлось удалить. Лог проверки - прилагается.
    Сейчас XP SP2 не грузится - после приветсвия windows -мелькает синий экран и перезагрузка.Безопасный режим и восстановление не помогло. (удаленный winlogon.exe я восстановил.)
    ЧТО ДЕЛАТЬ?
    Надеюсь на помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    D:\WINDOWS\system32\basemlfeg32.dll Удален Trojan.Win32.SubSys.dl
    Вот это очень зря, этого зловреда нельзя просто так удалять, иначе система не загрузится.

    Вам нужно скопировать имеющийся в папке D:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем basemlfeg32.dll при этом не удаляйте basesrv.dll !
    После загрузки системы сделайте логи по правилам.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    6
    Вес репутации
    35
    Спасибо за ответ, KPS.

    Сделал как вы сказали.
    Система загрузилась подальше, синиго экран смерти не было, дошло до черного экрана (в безопасном режиме до экрана с надписью безопасный режим и версией сборки) с двигающимся курсором от мыши, дальше все замерзло, ctr+alt+del - ни какого эффекта.
    видимо необходимо восстановливать другие файлы.
    Где их взять - незараженные

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    6
    Вес репутации
    35
    Большое спасибо, система ожила.
    Сейчас следующая картина:
    при запуске системы, при загрузке приложений
    services.exe lsas.exe userinit.exe explorer.exe rundll32.exe nwiz.exe winlogon.exe ctfmon.exe и т.д. ,всех пользовательских приложений автозапуска/ выдается одно и тоже сообщение:
    приложение или библиотека E:\windows\system32\clbdll.dll не является образом программы для Windows NT. Проверьте назначение установочного диска. Затем при запуске программ, также выдается это сообщение
    хотя приложения работают и система тоже работает.

    CureIt! нашел Trojan.nt.rootkit.1173 в файле clbdriver.sys, по нему в реестре я нашел
    ключ
    imagepath
    \??\globalroot\systemroot\system32\drivers\clbdriv er.sys
    я пока файл clbdriver.sys не удалял и ключ в реестре не трогал

    прикладываю логи проверки
    Похоже остался один шаг
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\WINDOWS\system32\win32osf.exe','');
     QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('E:\WINDOWS\TEMP\winlogon.exe','');
     QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('E:\WINDOWS\system32\DRIVERS\clbdriver.sys','');
     QuarantineFile('E:\WINDOWS\system32\netman.dll','');
     QuarantineFile('E:\WINDOWS\system32\clbdll.dll','');
     DeleteFile('E:\WINDOWS\system32\DRIVERS\clbdriver.sys');
     DeleteFile('E:\WINDOWS\TEMP\winlogon.exe');
     DeleteFile('E:\WINDOWS\system32\ntos.exe');
     DeleteFile('E:\WINDOWS\system32\win32osf.exe');
     DeleteFile('E:\WINDOWS\system32\clbdll.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23795 ).

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    31.05.2008
    Сообщений
    6
    Вес репутации
    35
    большое спасибо,

    кажется сработало, грузится без запинок,

    правда настройки файрвола слетели, но это мелочи

    карантин загрузил

    080602_125054_virus_484432fe9ffce.zip

    но кажется там особо ничего не попало, уже поудалено все было.

    Еще раз спасибо.

    кажется пора менять антивирус.

    Как избежать таких проблем в дальнейшем? Если не в лом - не подскажите ссылку почитать.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Отключите восстановление системы, как написано в правилах! Там могут быть копии зловредов.
    Сделайте новые логи, посмотрим.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. e:\\windows\\system32\\drivers\\clbdriver.sys - Rootkit.Win32.Agent.aoz (DrWEB: Trojan.NtRootKit.1173)


  • Уважаемый(ая) billybons, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Trojan Proxy Small MU Trojan
      От cocosanka в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 17.04.2009, 05:48
    2. Trojan-Proxy.Win32.Small
      От Dream-BY в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:47
    3. Споймал Trojan-Proxy.Win32.Small.mu
      От Adeke в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:11
    4. TroJan-Proxy.win32.small.np
      От Дмитрий_M в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.06.2008, 17:07
    5. Trojan-Downloader.Win32.Small.cyn, и много других...
      От retuam в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.06.2008, 18:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01088 seconds with 17 queries