Показано с 1 по 19 из 19.

Бьюсь второй день, но не получается.... (заявка № 32678)

  1. #1
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57

    Exclamation Бьюсь второй день, но не получается....

    Проблема в том, что нет возможности войти в safe mode, т.к. гибнет на mup.sys (видимо связано с железом - т.к. пробовал разные скрипты восстановления). Но могу работать с диском запустив Висту на соседнем диске. Вроде находит вирусы и удаляет и ручками многие удалил, но до реестра дотянуться нет возможности. На зараженной системе могу запустить только переименованные файлы avz и hijackthis. Согласно правилам прилагаю файлы. Буду признателен если будет возможность помочь.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 26.10.2008 в 19:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Выполните скрипт 2 раза!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
     DeleteFile('WinUpdating.exe');
     DeleteFile('c:\windows\system32\drivers\winfilse.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end;
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end;
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    Повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57
    выполнил скрипт 2 раза и повторяю логи. Очень благодарен за Вашу помощь.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 25.10.2008 в 00:28. Причина: карантин в теме

  5. #4
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57
    Странно.... вкладывал все логи . Повторяю....
    Последний раз редактировалось V_Bond; 25.10.2008 в 00:34. Причина: еще раз увижу карантин в теме - закрою ...

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\___dumprep___ 0 -k','');
     QuarantineFile('C:\WINDOWS\system32\WinSpooler.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
     QuarantineFile('c:\windows\system32\drivers\winfilse.exe','');
     DeleteFile('c:\windows\system32\drivers\winfilse.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
     DeleteFile('C:\WINDOWS\system32\WinSpooler.exe');
     DeleteFile('C:\WINDOWS\system32\___dumprep___ 0 -k');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  7. #6
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57
    Карантин выслал, логи повторяю.

    P.S. Извиняюсь за ранее вложенный карантин - невнимательность уже связанна с усталостью.
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57
    Может что не так сделал? Стоит ли ждать ответа?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    Цитата Сообщение от AntonKr Посмотреть сообщение
    Стоит ли ждать ответа?
    Да, стоит. Просто эксперты и хэлперы работают сразу с несколькими темами и не всегда могут ответить сразу же. Плюс к этому на анализ логов уходит какое-то время.
    Короче -- не волнуйтесь, про Вас не забыли. Просто периодически проверяйте свою тему.
    Наше дело правое--победа будет за нами!!!

  10. #9
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57
    Спасибо. Я, на всякий случай, отправил свой "зловред" в соответстующую тему.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     ClearQuarantine;       
     QuarantineFile('C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe','');
     QuarantineFile('C:\Program Files\QuickTime\qttask.exe','');
     QuarantineFile('C:\WINDOWS\system32\vsjitdebugger.exe','');
    end.
    Загрузите карантин...

  12. #11
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57
    Карантин загружен.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe-Trojan-Downloader.Win32.Bagle.aei

    Выполнить скрипт 2 раза!

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
     DeleteFile('c:\windows\system32\drivers\winfilse.exe');
     DeleteFile('C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end;
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end;
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
    SaveLog(GetAVZDirectory + 'B_d.txt');
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Повторите логи...

  14. #13
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57
    Я уже понял, что именно в этом файле. Прикрепил логи выполнения скрипта и текущие логи Хайджека и АВЗ. Вроде сейчас все успокоилось. Большое Вам спасибо за Вашу помощь. А донейшен по пэйпалу можно сделать?
    Вложения Вложения

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('WinSpooler.exe');
     DeleteFile('C:\WINDOWS\system32\WinSpooler.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Выполните полную проверку CureIT, логи повторите...

  16. #15
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57
    CureIT проверку сделал, нашлось парочка троянов. Далее выполнил АВЗ и Хайджек. Логи повторяю.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57
    Деинсталировал камеру, установленную сегодня для чистоты логов. Логи пересобрал:
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите
    Код:
    O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe
    сделайте новые логи по правилам

  19. #18
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    28
    Вес репутации
    57
    Пофиксил, логи прикрепил.
    Вложения Вложения

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Чисто...

  • Уважаемый(ая) AntonKr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Уже второй день не могу отправить ЛС!!!
      От nfs911 в разделе Технические и иные вопросы
      Ответов: 0
      Последнее сообщение: 29.12.2010, 01:14
    2. Ответов: 8
      Последнее сообщение: 05.08.2010, 16:23
    3. Не получается скачать Dr.Web CureIt
      От kunr6erk7d в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.05.2010, 23:14
    4. компьютер мигает черным окном уже второй день
      От Владимир Олейник в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.08.2009, 20:22
    5. Создатели OpenDNS получают $20 тыс. в день
      От ALEX(XX) в разделе Другие новости
      Ответов: 1
      Последнее сообщение: 22.07.2008, 22:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00359 seconds with 20 queries