Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Помогите... (заявка № 46322)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    32

    Thumbs up Помогите...

    Сразу скажу, что не могу приложить ничего, поскольку avz и HijackThis не запускаются, не переименовываются, а avz даже не распаковывается полностью, при попытке поставить еще раз. Теперь суть - вирус блокирует все антивирусы, как и попытки их установки. И безопасный режим тоже. Однако на сайты производителей антивирусов захожу без проблем. Выполняет еще какие-то действия, но что именно - понять не могу. Какое-то время, например, через пару минут после загрузки переставала определяться звуковая карта. Через несколько часов включился снова - теперь работает. Антивирусы по-прежнему не реагируют. CureIt запустился, но сразу с началом сканирования - вылет.
    Вот как-то так...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    Попробуйте этот авз http://rapidshare.de/files/47208693/explorer.pif.html

  4. #3
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    32
    И этот не запускается. Просто не реагирует на нажатие. А обычный avz повисает при попытке запуска.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Скачайте этот AVZ http://rapidshare.com/files/231459517/special_avz.zip и запустите bat-файл в этой папке.
    Если не получится, то выполните это http://virusinfo.info/showthread.php?t=40120

  6. #5
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    32
    Вот. Хоть что-то получилось.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
     QuarantineFile('C:\explorer.pif','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys','');
     QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe','');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe');
     DeleteFile('C:\WINDOWS\system32\wintems.exe');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys');
     DeleteFile('C:\explorer.pif');
     DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
     DeleteFile('F:\explorer.pif');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=46322).
    Сделайте новые логи.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    32
    Карантин отправил.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Цитата Сообщение от xuwrlazv Посмотреть сообщение
    Карантин отправил.
    Нет вашего карантина. Пришлите повторно по указанной ссылке!

    А зверек у вас поселился непростой.
    Найдите возможность воспользоваться другим ПК и сделать такой диск: http://www.freedrweb.com/livecd. Если полная проверка с помощью этого диска не даст результата, то загрузившись с него надо вручную найти и удалить следующие файлы:

    C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe
    C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe
    C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys
    C:\WINDOWS\system32\wintems.exe

    После этого сделать новые логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    32

    Вести с полей.

    Итак...
    1. Проверка LiveCD ничего не дала. (кстати графический режим не запустился)
    2. Указанные файлы удалил. После перезапуска winupgro.exe восстановился, стал виден в процессах, из которых безболезненно удалялся. Остальные удаленные не восстановились.
    3. Свежескачанные avz и HijackThis успешно запустились, ими были сделаны все необходимые логи.
    4. Перед отправкой решил проверить что там с безопасным режимом. При попытке его запустить — все как раньше — бсод/перезагрузка. Все удаленные файлы, кроме wintems.exe снова восстановились, avz и HijackThis снова перестали запускаться.

    Были повторены пункты 2-3, сделаны новые логи, которые и выложил.

    И, как я понимаю, повторная отправка карантина так же была безуспешной?

    (Гугл, кстати, на winupgro.exe выдал массу идентичных с моим случаем симптомов и слово Bagle, которое так же появилось в 14 из 26 результатах при проверке пресловутого winupgro.exe на virustotal. Ну это я так, к слову...)
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys','');
     QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\srosa2.sys','');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\srosa2.sys');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe');
     DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe');
     DeleteFile('C:\WINDOWS\system32\wintems.exe');
    DeleteFileMask('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\downld', '*.*', true);
    DeleteFileMask('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers', '*.*', true);
    BC_ImportALL;
    ExecuteSysClean;
     BC_DeleteSvc('srosa');
     BC_DeleteSvc('sK9Ou0s');
    BC_Activate;
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=46322).
    Сделайте новые логи.

    Добавлено через 3 минуты

    Цитата Сообщение от xuwrlazv Посмотреть сообщение
    (Гугл, кстати, на winupgro.exe выдал массу идентичных с моим случаем симптомов и слово Bagle
    Да, это очевидно свежая модификация известного червя Bagle.
    Последний раз редактировалось Bratez; 25.05.2009 в 06:26. Причина: дополнил скрипт
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    32
    Я идиот... По криворукости своей я удалил папку C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\downld и из-за этого, вероятно, востановились все удаленные ранее файлы. wintems.exe и flec006.exe я удалил, но все, что обитает в папке drivers теперь восстанавливается полностью не зависимо от того что из них я удаляю через LiveCD.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Вы бы как нибудь все же прислали нам образцы, ни одного карантина от вас не поступило. Выполните еще раз то, что написано в сообщении #10, я скрипт немного подправил.
    Последний раз редактировалось Bratez; 25.05.2009 в 06:44.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    32
    Карантин отправил. Это уже четвертая попытка, так что если не получится - может стоит попробовать какой-нибудь альтернативный вариант отправки?
    Логи после выполнения скрипта:
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Увы, никакого прогресса.
    Попробуйте сделать сканирование свежим AVPtool, загрузившись с LiveCD.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    32
    Цитата Сообщение от Bratez Посмотреть сообщение
    Увы, никакого прогресса.
    Попробуйте сделать сканирование свежим AVPtool, загрузившись с LiveCD.
    Не совсем понял как это можно сделать c drWeb'овского LiveCD. Графический режим у меня не запускается, а через Midnight Commander оно ведь не работает. Или вы имели ввиду какой-то другой?
    Последний раз редактировалось xuwrlazv; 26.05.2009 в 01:07.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Цитата Сообщение от xuwrlazv Посмотреть сообщение
    Графический режим у меня не запускается
    Странно, с чего бы это?

    Кстати, в базы DrWeb'a этот зловред уже добавлен, можно просто скачать и записать новый LiveCD.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    32
    Цитата Сообщение от Bratez Посмотреть сообщение
    Странно, с чего бы это?
    Вот уж не знаю. Но при попытке запустить его выдает пару каких-то ошибок и все равно грузится в Safe mode.

    Цитата Сообщение от Bratez Посмотреть сообщение
    Кстати, в базы DrWeb'a этот зловред уже добавлен, можно просто скачать и записать новый LiveCD.
    Попробую, что мне еще остается.

    Запустил AVPtool из под Инфры. Нашел кучу всего, но вылечить ничего не вылечил. Вот все, что нашел:
    Вложения Вложения
    • Тип файла: txt avp.txt (17.7 Кб, 8 просмотров)
    Последний раз редактировалось Rene-gad; 30.05.2009 в 00:09.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Все, что надо он таки нашел. А почему ж не вылечил? Что сказал?
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    16
    Вес репутации
    32
    Вроде бы что не может бекап создать или что-то вроде того. Большинство можно было только пропустить.

    Эх... Ну так как - будут какие-нибудь советы?

    И еще разок хотелось бы поднять темку. Или ситуация настолько безнадежна?
    Последний раз редактировалось Rene-gad; 30.05.2009 в 00:07.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от xuwrlazv Посмотреть сообщение
    Или ситуация настолько безнадежна?
    Мы колдовать не умеем. Попробуйте Malwarebytes Antimalware прогнать, лог потом к сообщению прикрепите.

  • Уважаемый(ая) xuwrlazv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00521 seconds with 17 queries