Показано с 1 по 15 из 15.

Вирусы 7 (заявка № 23862)

  1. #1
    Junior Member Репутация
    Регистрация
    20.04.2008
    Адрес
    Казахстан г.Усть-Каменогорск
    Сообщений
    213
    Вес репутации
    37

    Thumbs up Вирусы 7

    Здравствуйте Уважаемые !! Знакомая девушка принесла компьютер , проблема в следующем - Комп не загружается в нормальном режиме грузиться до приветствия и уходит в перегруз Можно запустить только в Безопасном режиме. Проверил Кюретом нашел кучу троянов , а также заражен файл "winlogon.exe" который находиться в папке Windows.
    Вижу в автозагрузке кучу гадостей + процессы нафиг которые н енужны и не известны в диспетчере задач висят

    Зашел в папочку ТЭМП и увидел там Винлогон выгрузил его из процесса и грохнул но проблема не исчезла

    Прилагаю логи посмотрите плиз.
    Последний раз редактировалось BMW; 05.06.2008 в 12:56.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
     QuarantineFile('C:\WINDOWS\system32\basegddxo32.dll','');
     QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
     DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
     DeleteFile('C:\WINDOWS\system32\basegddxo32.dll');
     DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам,повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    20.04.2008
    Адрес
    Казахстан г.Усть-Каменогорск
    Сообщений
    213
    Вес репутации
    37
    Файл сохранён как 080602_021050_virus_48439cfa35229.zip
    Размер файла 22108
    MD5 10caadb21015d2bd90fbdd2674818274

    карантин выслал , логи щас повторю

    Пока не могу еще в нормальном режиме загрузиться ! Делаю в безопасном

  5. #4
    Junior Member Репутация
    Регистрация
    20.04.2008
    Адрес
    Казахстан г.Усть-Каменогорск
    Сообщений
    213
    Вес репутации
    37
    новые логи
    Последний раз редактировалось BMW; 05.06.2008 в 12:56.

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\farkrish.exe','');
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин,повторите логи с п.10 правил

  7. #6
    Junior Member Репутация
    Регистрация
    20.04.2008
    Адрес
    Казахстан г.Усть-Каменогорск
    Сообщений
    213
    Вес репутации
    37
    не нравиться мне вот это "[KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" - висит в автозагрузке.

    карантин выслал
    Файл сохранён как 080602_031511_virus_4843ac0fafbf6.zip
    Размер файла 218122
    MD5 192a5eac4e00b452d4b953f5e485feec

    новые логи, проверил архив карантина на вирустотал - показывает что файлы чистые

    Так же пока зайти в нормальном режиме не могу, все делаю в безопасном
    Последний раз редактировалось BMW; 05.06.2008 в 12:56.

  8. #7
    Junior Member Репутация
    Регистрация
    20.04.2008
    Адрес
    Казахстан г.Усть-Каменогорск
    Сообщений
    213
    Вес репутации
    37
    я так полагаю если убрать вот это "[KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" с автозагрузки то он не должен перегружаться . Правильно я мыслю ?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Да. Правильно.
    Это вызов автомат. перезагрузки при появлении ошибок. Если перенастроить это дело, то будет БСОД, на котором можно прочитать кто виноват.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    20.04.2008
    Адрес
    Казахстан г.Усть-Каменогорск
    Сообщений
    213
    Вес репутации
    37
    Цитата Сообщение от PavelA Посмотреть сообщение
    Да. Правильно.
    Это вызов автомат. перезагрузки при появлении ошибок. Если перенастроить это дело, то будет БСОД, на котором можно прочитать кто виноват.
    БСОД не вылетил как только рабочий стол появляется при нормальной загрузке комп берет и в перегруз уходит. И опять появляется в автозагрузке этот файл и еще там висит вот эта гадость "farkrish"

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить скрипт. Файл этот гугл не знает, попробуем глохнуть.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      DeleteFile('C:\WINDOWS\farkrish.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    20.04.2008
    Адрес
    Казахстан г.Усть-Каменогорск
    Сообщений
    213
    Вес репутации
    37
    Вызвал БСОД ссылается на файл amon.sys так же в корне диска С обнаружил файл 367.tmp полагаю его можно грохнуть

    Добавлено через 3 минуты

    в нормальный режим все так же зайти не могу
    Последний раз редактировалось BMW; 02.06.2008 в 12:15. Причина: Добавлено

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Значит, задача будет просто: деинсталлировать НОД, а потом установить заново.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    20.04.2008
    Адрес
    Казахстан г.Усть-Каменогорск
    Сообщений
    213
    Вес репутации
    37
    Цитата Сообщение от PavelA Посмотреть сообщение
    Значит, задача будет просто: деинсталлировать НОД, а потом установить заново.
    Вот что я и сделал еще даже не прочитал сообщение Щас качаю каспера и поставлю. А в логах ничего подозрительного нет которые я последние отправлял ?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Твоего 'C:\WINDOWS\farkrish.exe' Симантек убил на подлете. Он был в посл. карантине.

    Добавлено через 59 секунд

    Trojan.Peacomm.D - 'C:\WINDOWS\farkrish.exe' по Симантеку.
    По описанию, может завершать процессы антивирусов, поэтому м.б. Нод в этих бедах не был виноват.
    Последний раз редактировалось PavelA; 02.06.2008 в 12:57. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    20.04.2008
    Адрес
    Казахстан г.Усть-Каменогорск
    Сообщений
    213
    Вес репутации
    37
    Цитата Сообщение от PavelA Посмотреть сообщение
    Твоего 'C:\WINDOWS\farkrish.exe' Симантек убил на подлете. Он был в посл. карантине.

    Добавлено через 59 секунд

    Trojan.Peacomm.D - 'C:\WINDOWS\farkrish.exe' по Симантеку.
    По описанию, может завершать процессы антивирусов, поэтому м.б. Нод в этих бедах не был виноват.
    Ну я так и подумал что вирусня НОД убила и начала резвиться по полной Спасибо вам огромное . Ну если зловредов нет значит закрываем тему. Сейчас как раз пишу в нормальном Режиме

  • Уважаемый(ая) BMW, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирусы-картинки и вирусы-музыка?
      От catmen08 в разделе Общая сетевая безопасность
      Ответов: 16
      Последнее сообщение: 04.05.2010, 16:01
    2. Ответов: 1
      Последнее сообщение: 09.04.2010, 17:00
    3. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:44
    4. Вирусы полечил, вирусы остались
      От Yurii в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.07.2008, 06:57
    5. Вирусы... снова вирусы
      От Len в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.06.2008, 15:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00217 seconds with 16 queries