Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Требуется помощь (заявка № 50542)

  1. #1
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31

    Thumbs up Требуется помощь

    Добрый день.
    Комп. - ХР SP2, NOD32 (четверка), Comodo.
    Вчера возникла проблема - комп на все действия стал ругаться, что у вас не достаточно прав (пользователь был не с правами админа), в том числе и на попытку выключить комп через меню пуск, на запуск любой программы (почта, инет, и тд). Комодо и нод из трея пропали (хотя в процессах висели). Из под администратора ситуация такая же (не получилось запустить ни курента, ни авз), в безопасном режиме не грузится, после загрузки с диска Dr.Web LiveCD и сканировании компа (два диска физических), ничего найдено не было, при попытки загрузиться снова ситуация не поменялась. После отката системы на пару дней (возможность была зайти только через диспетчера процессов-помощь) не изменилось ничего.
    Щас инфа с обоих дисков перекинута на один (подключали к другому компу), диск этот отключен (лежит на полочке), первый диск отформатирован, установлена винда, пока все (сеть отключена).
    Очень нужны файлы со второго диска (да и диск сам тоже) но есть опасение, что враг на нем щас, вопрос что делать?
    Комп в офисе был чем-то вроде сервера, на втором диске (который щас на полочке) была общая папка, для работы офиса. В офисе еще 4 компа и сетевой принтер.
    Может и их чем нить проверить?
    На флешке, которая была последней подключена к умершему компу, найдены два вируса (нодом тоже):
    G:\RECYCLER\S-51-9-25-3434476501-1644491937-601003330-1214\Wrgsv.exe - Win32/AutoRun.KS червь - очищен удалением - изолирован [1]
    G:\RECYCLER\S-51-9-25-3434476501-1644491937-601003330-1213\Mrgsv.exe - IRC/SdBot троянская программа - очищен удалением - изолирован [1]
    Остальные компы пока нормально себя чувствуют (на двух стоит нод, на одно каспер), проверку пока не запускал.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Fox-RK Посмотреть сообщение
    Очень нужны файлы со второго диска .
    В смысле? Это пользовательские файлы? Просканьте их любым обновленным Антивирусом и можете ими далее пользоваться.

  4. #3
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31
    Это и пользовательские файлы, и базы 1С, и почта (тундерберд), и история аськи. Просканировать то можно, но вот чего то ж было, что порушило систему, а антивирусник (нод) обновлялся несколько раз в день, вот и вопрос чем другим проверить? не хочется еще разок такую болячку занести. При копировании копировали полностью весь системный диск (с) не разбирая. Щас включу его тоже, и поновой нодом (пока токо он есть).

  5. #4
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31
    Враг жив, подцепил второй диск, нодом с свежими базами просканил, ничего не нашел, но он есть, комодо периодически сообщает о попытке создать в систем32 файла - набор букв (2-4 символа), нод молчит.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Заплатки на систему все стоят?

  7. #6
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31
    логи

    а еще комодо блокирует штуку такую:
    C:\Windows\msddrv42.exe которая чего то хочет сделать каждые 2-4 секунды
    Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msddrv42.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\msddrv42.exe');
     QuarantineFile('c:\windows\msddrv42.exe','');
     DeleteFile('c:\windows\msddrv42.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте лог GMER
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31
    сделано
    Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Повторите п.2 раздела Диагностика.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31
    Отключил восстановление
    Выполнил скрипт
    ех, а далее поторопился, удалил все логи и карантин
    поэтому выполнил диагностику всю
    логи прикрепил
    Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Восстановление системы: включено
    ????
    Отключите Антивирус и Файрвол.
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Повторите п.2 раздела Диагностика.

  13. #12
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31
    Восстановление системы: включено
    под администратором захожу - восстановление системы отключено
    под пользователем посмотреть не могу, проводник от имени администартора не запускается, а так вкладка восстановления отсутствует.

    Отключите Антивирус и Файрвол.
    комодо выключаю полностью (exit), в анивирусе пункт отключить защиту от вирусов и шпионских программ (выгрузить полностью нет кнопки выхода) - достаточно, или убрать из автозагрузки, и посмотреть в процессах и там убить?

    комодо при загрузке системы ругается на файлы в директории C:\Documents and Settings\Director\Local Settings\Temp\
    файлы цыфры.exe, удалял данные файлы вручную, появляются снова при перезагрузке

    скрипт сделал
    логи
    Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Пролечитсь от файлового вируса: http://virusinfo.info/showthread.php?t=15927

  15. #14
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31
    Провел лечение
    Лечение с помощью Live CD Vba32 Rescue
    файл отчета приложен

    комодо при загрузке системы ругается на файлы в директории C:\Documents and Settings\Director\Local Settings\Temp\
    файлы цыфры.exe
    пока так и осталось
    Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Папку C:\Documents and Settings\Director\Local Settings\Temp
    очистите полностью.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31
    всем спасибо, вроде выздоровел комп, никто не ругается, ничего не тормозит. одна маленькая штука чуть чуть мешает, при загрузке открывается окошко мои документы.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Кажется, мы с вами кое-что упустили...

    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=50542).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31
    ех, теперь чавото выскочило окошко
    svhost.exe - ошибка приложения
    инструкция по адресу "0x6f8917c2" обратилась по адресу "0x6f8917c2". память не может быть "read".
    это почему? помогите и эту штуку убрать пожалуйста, если чего нить нажать, то отрубает доступ к общей папке, которая на этом компе находится
    Последний раз редактировалось Fox-RK; 28.07.2009 в 06:26. Причина: Добавлено

  20. #19
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    31
    карантин пустой, точнее в нем есть папка сегодняшняя, но она пустая
    логи
    Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Сделайте еще лог gmer.
    I am not young enough to know everything...

  • Уважаемый(ая) Fox-RK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Требуется помощь
      От ЕвгенийBat в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.02.2010, 13:09
    2. Требуется помощь
      От SeZuka в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 31.12.2009, 06:58
    3. Требуется помощь!
      От IndeeZ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:05
    4. Требуется помощь
      От Sergo5 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 04:48
    5. Требуется помощь!
      От Cewer в разделе Microsoft Windows
      Ответов: 2
      Последнее сообщение: 07.01.2009, 20:38

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00284 seconds with 16 queries