Показано с 1 по 13 из 13.

Возможно вирус? (заявка № 29324)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    30
    Вес репутации
    38

    Thumbs up Возможно вирус?

    Добрый день!

    Проблема такая: сразу же после загрузки винды вылетают окошки

    dumprep.exe ошибка приложения
    generic host process for win32 services обнаружена ошибка
    services.exe обнаружена ошибка
    wuauclt.exe обнаружена ошибка

    Вот в принципе если их не закрывать (не давить ок или отмену) то хотя бы интернет более менее работает, иначе вылетает сообщение, что система будет остановлена и все повисает.

    В безопасном загрузилась, выполнила скрипты avz, в обычном avz (ни полная, ни усеченная версии) не работает. Hijackthis выполняла в обычном режиме после скриптов. Восстановление отключено.

    Посмотрите, пожалуйста. Заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    Все выполняйте в обычном режиме.

    pingpong.pif - переименованный спец. AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
    Скачайте его.

    Потом скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Vci27.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Затем выполните скрипт в AVZ (pingpong.pif):
    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
     QuarantineFile('C:\WINDOWS\msauc.exe','');
     QuarantineFile('C:\WINDOWS\iexplorer.exe','');
     QuarantineFile('C:\WINDOWS\System32\Cpl32ver.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\pcixm.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Vci27.sys','');
     QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc86.sys','');
     DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc86.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Vci27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\iexplorer.exe');
     DeleteFile('C:\WINDOWS\msauc.exe');
     DeleteFile('C:\WINDOWS\system32\oembios.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('Vci27');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=29324 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Последний раз редактировалось Rene-gad; 31.08.2008 в 13:29.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    30
    Вес репутации
    38
    Скрипт выполнен, карантин загружен.

    Найденный Vci27.sys здесь
    Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    Еще раз увижу ссылку или карантин в теме - получите бан


    Все очистила, логи повторяю.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    30
    Вес репутации
    38
    Этот файл тоже загружать по ссылке вверху?

    Карантин, созданный avz, загрузила по ссылке. Просто просили еще прислать найденный файл возможно с вирусом, над которым ваш коллега просил выполнить следующие действия:

    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Vci27.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
    Последний раз редактировалось Rene-gad; 31.08.2008 в 14:07.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Цитата Сообщение от Aelite Посмотреть сообщение
    Этот файл тоже загружать по ссылке вверху?
    Карантин -да. Логи Вы прикрепили правильно.

    Нарушения правил при сборе информации для раздела Помогите.


    - Не обновлена версия Hijackthis. Скачайте последнюю версию по ссылке в правилах.
    - Не закрыты все программы
    - Не запущен Интернет Эксплорер.


    Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
    Спасибо за понимание.


    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\System32\Cpl32ver.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Qxd16.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Qxd16.sys');
     DeleteFile('C:\WINDOWS\System32\Cpl32ver.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

    Цитата Сообщение от Aelite Посмотреть сообщение
    Просто просили еще прислать найденный файл возможно с вирусом, над которым ваш коллега просил выполнить следующие действия:.
    Зтими действиями Вы уже добавили файл в карантин, который Вы загрузили
    Нельзя давать доступ к подозрительным файлам в топике, их могут использовать bad boys , а мы получим по шапке...
    Последний раз редактировалось Rene-gad; 31.08.2008 в 14:10. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    30
    Вес репутации
    38
    Антивируса и фаервола не стоит по определению, системное восстановление отключено, Internet Explorer нету, убит за ненадобностью, запустить не могу.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Цитата Сообщение от Aelite Посмотреть сообщение
    Internet Explorer нету, убит за ненадобностью, запустить не могу.
    А Maxthon на чем базируется по-вашему?
    Gismeteo
    Nero
    - вот это поотключайте.

  9. #8
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    30
    Вес репутации
    38
    карантин загружен, логи повторяю
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Возьмите диск дистрибутива и положите его в драйв для компакт-дисков.

    IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\Drivers\Qxd16.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('tcpsr');
     DeleteService('Qxd16');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Qxd16.sys','');
     QuarantineFile('C:\Program Files\Maxthon2\SETUPAPI.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Qxd16.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Qxd16.sys');
     DeleteFile('C:\Program Files\Maxthon2\SETUPAPI.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Qxd16.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('Qxd16');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    1. Запуститесь с дистрибутива.
    2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
    3. На приглашение введите строку:
    Код:
    copy C:\WINDOWS\ServicePackFiles\i386\userinit.exe C:\WINDOWS\system32\userinit.exe
    Переписывание подтвердите

    Если такого источника нет

    Код:
    copy C:\i386\userinit.exe C:\WINDOWS\system32\userinit.exe
    Переписывание подтвердите

    Если такого источника нет

    Код:
    expand X:\i386\userinit.ex_ C:\WINDOWS\system32\userinit.exe
    Вместо Х - буква драйва компакт-дисков.
    Переписывание подтвердите.

    4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    5. Загрузитесь нормально.

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  11. #10
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    30
    Вес репутации
    38
    Все сделала, карантин отправила, логи прикрепляю.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    ничего зловредного в логах ...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    При сем присутствовали известные
    Код:
    Cpl32ver.exe_ - Trojan.Win32.Crypt.mv, 
    iexplorer.exe_ - Trojan.Win32.Buzus.ura, 
    msauc.exe_ - Trojan.Win32.Buzus.uxd, 
    oembios.exe_ - Trojan-Spy.Win32.Zbot.eev
    +новый
    Код:
    userinit.exe_ - Trojan.Win32.Buzus.vjw

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\maxthon2\\setupapi.dll - Trojan.Win32.Agent.abrg (DrWEB: Trojan.Siggen.190)
      2. c:\\windows\\iexplorer.exe - Trojan.Win32.Buzus.ura (DrWEB: Trojan.MulDrop.18659)
      3. c:\\windows\\msauc.exe - Trojan.Win32.Buzus.uxd (DrWEB: Trojan.MulDrop.1865
      4. c:\\windows\\system32\\cpl32ver.exe - Trojan.Win32.Crypt.mv (DrWEB: BackDoor.Bulknet.233)
      5. c:\\windows\\system32\\oembios.exe - Trojan-Spy.Win32.Zbot.eev (DrWEB: Trojan.Proxy.3780)
      6. c:\\windows\\system32\\userinit.exe - Trojan.Win32.Subster.a (DrWEB: Trojan.PWS.Lich)


  • Уважаемый(ая) Aelite, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. возможно вирус
      От click80 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.12.2011, 19:46
    2. Ответов: 4
      Последнее сообщение: 05.03.2011, 13:53
    3. Возможно вирус ??
      От cender в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.05.2010, 11:21
    4. Возможно вирус
      От Seriy294 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.02.2010, 17:14
    5. возможно вирус
      От Gen86 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.12.2009, 20:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00476 seconds with 17 queries