-
Junior Member
- Вес репутации
- 58
Не могу сделать логи
Здравствуйте. Начал окучивать компьютер "по правилам" записал CureIT на компакт на здоровом компе, запустил на больном, комп сам перезагрузился. Запуск CureIT в безопасном режиме удался - вылечил несколько вирусов, предложил перезагрузиться.
Больше не могу войти в систему ни в обычном, ни в безопасном режиме. Сразу после логина происходит логаут - комп почти сразу пишет "завершение сеанса", и выходит.
Как лечить?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Зайдите в консоль восстановления или загрузитесь с загрузочного CD типа BartPE и проверьте наличие файлов:
Windows\System32\userinit.exe
Windows\System32\winlogon.exe
Даже если они есть, лучше замените их на чистые из дистрибутива или с чистой системы. О результатах сообщите.
-
-
Junior Member
- Вес репутации
- 58
userinit.exe действительно отсутствовал. После его копирования с другой машины винда загрузилась.
Логи "syscure" сделать по-прежднему не могу, т.к. во время выполнения скрипта комп перезагружается, когда AVZ выводит строку "количество найденных процессов: 22"
Выкладываю, что смог собрать.
Последний раз редактировалось Generalissimus; 07.08.2008 в 16:34.
-
Отключите восстановление системы, как написано в правилах.
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\Drivers\Wfl26.SYS и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\System32\CTFMON.EXE','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Befe44.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\mickey32.sys','');
QuarantineFile('C:\WINDOWS\glok+1204-196.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wfl26.SYS','');
QuarantineFile('C:\WINDOWS\twain_8.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\ccevtsvc.exe','');
QuarantineFile('c:\windows\system32\cbevtsvc.exe','');
DeleteFile('c:\windows\system32\cbevtsvc.exe');
DeleteFile('c:\windows\system32\ccevtsvc.exe');
DeleteFile('C:\WINDOWS\twain_8.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Wfl26.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\mickey32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Befe44.sys');
DeleteFile('C:\WINDOWS\iexplorer.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('CbEvtSvc');
BC_DeleteSvc('mickey32');
BC_DeleteSvc('Befe44');
BC_DeleteSvc('Wfl26');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Очистите временные папки и кеш браузера.
Сделайте новые логи.
-
-
Лог Куре-Ит, если сохранился пришлите сюда.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
PavelA
Лог Куре-Ит, если сохранился пришлите сюда.
Логи не нашел. Где они обычно сохраняются? В папке, откуда запускал, только setup.exe остался.
Скрипт лечения и сбора информации по-прежднему приводит к перезагрузке. Логи прилагаю. Файл wfl26.sys и карантин выслал по правилам
Последний раз редактировалось Generalissimus; 07.08.2008 в 16:34.
-
Лог "CureIt.log" лежит в папке "C:\Documents and Settings\имя пользователя\DoctorWeb"
Проще так: пуск - выполнить - %userprofile%\DoctorWeb
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Generalissimus; 07.08.2008 в 16:33.
-
Junior Member
- Вес репутации
- 58
После очередной перезагрузки НОД нашел какую-то заразу и пообещал вылечить, но проблема осталась.
По-прежднему не могу сделать лог syscure, комп перезагружается. Лог syscheck и hijackthis выкладываю свежий.
Заметил, что перезагрузка происходит не в определенный момент, а хаотично, но всегда после строки "количество найденных процессов"
Последний раз редактировалось Generalissimus; 07.08.2008 в 16:33.
-
Жуть что творится. Два серьезных а/вируса - НОД и Симантек + куча зверья.
Лечение будет серьезным, готовьтесь.
Добавлено через 9 минут
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsfile;
QuarantineFile('Wfl26.sys','');
QuarantineFile('C:\WINDOWS\glok+1204-196.sys','');
DeleteService('glok+1204-196');
QuarantineFile('c:\windows\system32\winffcdu.exe','');
TerminateProcessByName('c:\windows\system32\winffcdu.exe');
QuarantineFile('c:\windows\system32\secwfbaj.exe','');
TerminateProcessByName('c:\windows\system32\secwfbaj.exe');
BC_DeleteFile('c:\windows\system32\secwfbaj.exe');
DeleteFile('c:\windows\system32\winffcdu.exe');
DeleteFile('C:\WINDOWS\glok+1204-196.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Далее все по стандарту: карантин загрузить по ссылке, сделать новые логи.
Последний раз редактировалось PavelA; 29.07.2008 в 12:08.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Выполнял скрипт два раза, т.к. один раз запуск скрипта привел к перезагрузке.
В карантин почему-то попало только два файла.
После выполнения скрипта опять то же самое - не получается выполнить скрипт лечения и сбора информации.
Вот логи, какие есть. Карантин выложил
Последний раз редактировалось Generalissimus; 07.08.2008 в 16:33.
-
Профиксить:
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll
Скрипт, из сообщения выше, выполнить в безопасном режиме. почему-то ничего не удалилось.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
PavelA
Профиксить:
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll
Просто так не фиксится - сейчас попробую сделать все вышеописанное из безопасного режима
-----------
Из безопасного режима по-моему опять ничего особенного не получилось. Файлов в карантине стало побольше, но не все запрошенные. Карантин отправил.
----------
Сейчас снова перезагрузился. Запустить скрипт лечения так и не удалось - опять уходит в перезагрузку. Удалось выдернуть кусок лога - может пригодится... (отменил выполнение перед сканированием процессов).
После перезагрузки NOD ругнулся на %windir%\system32\regxswgo.exe - вероятно неизвестный NewHeur_PE вирус. Вроде бы, не в первый раз ругается, имя файла знакомо.
Последний раз редактировалось Generalissimus; 29.07.2008 в 17:55.
Причина: добавил
-
Junior Member
- Вес репутации
- 58
вот логи. hijackthis не фиксит О18 ни в безопасном режиме, ни в обычном.
Что делать? Есть ещё предложения? Может с компакта загрузиться, и файлики пособирать?
Может так попробовать: сделать копию корня диска (или только %windir%) на другой диск в какую-л. папку, затем загрузиться с miniPE, и через total commander сделать синхронизацию папок? Все скрытые файлы, которые не видно из больной ос, сразу всплывут... и их пришлю архивом.
Или ещё что посоветуете?
Последний раз редактировалось Generalissimus; 07.08.2008 в 16:33.
-
Такой скрипт еще (в порядке бреда).
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
executerepair(11);
executerepair(17);
DelCLSID('{53B95211-7D77-11D2-9F80-00104B107C96}');
TerminateProcessByName('c:\windows\system32\secwfbaj.exe');
TerminateProcessByName('c:\windows\system32\regxswqo.exe');
DeleteFile('c:\windows\system32\regxswqo.exe');
DeleteFile('c:\windows\system32\secwfbaj.exe');
DeleteFile('C:\WINDOWS\twain_8.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('c:\windows\system32\regxswqo.exe');
BD_DeleteFile('c:\windows\system32\secwfbaj.exe');
BC_DeleteFile('C:\WINDOWS\twain_8.dll');
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось Rene-gad; 29.07.2008 в 18:22.
Причина: забыл важные строчки.
-
-
Я думаю перед всеми этими скриптами временно деинсталлить НОДа и Симантека.
М.б. они мешаются.
После деинсталла лечиться с отключенным Инетом.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Удалил антивирусы, повторил выполнение первого и второго скрипта, предварительно выключив сеть. Ситуация вроде немного изменилась, выкладываю свежие логи. Карантин высылать не буду, там все файлы по нулям, кроме winlogin.exe (его уже присылал). При запуске скрипта лечения комп по-прежднему перезагружается.
Последний раз редактировалось Generalissimus; 07.08.2008 в 16:37.
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O4 - HKLM\..\Run: [mbvedpx32] secwfbaj.exe
O4 - HKLM\..\Run: [eprogqm] C:\WINDOWS\System32\regvpcfw.exe
O4 - HKCU\..\Run: [mbvedpx32] secwfbaj.exe
O4 - HKCU\..\Run: [eprogqm] C:\WINDOWS\System32\regvpcfw.exe
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
TerminateProcessByName('c:\windows\system32\regvpcfw.exe');
QuarantineFile('secwfbaj.exe','');
QuarantineFile('C:\WINDOWS\System32\secwfbaj.exe','');
QuarantineFile('c:\windows\system32\regvpcfw.exe','');
DeleteFile('c:\windows\system32\regvpcfw.exe');
DeleteFile('C:\WINDOWS\System32\secwfbaj.exe');
DeleteFile('secwfbaj.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
В карантин почему-то попал только один файл. Выслал по правилам.
Лечение по-прежднему не проходит.
Скрипты, какие есть, прилагаю.
Последний раз редактировалось Generalissimus; 07.08.2008 в 16:37.
-
Junior Member
- Вес репутации
- 58