Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Снова Download master (заявка № 65164)

  1. #1
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53

    Thumbs up Снова Download master

    Подхватил такую заразу, ставил винт на другую машину, DRWEB не нашел ничего, Virus Removal Tool че-то нашел-удалил, машина запускается, могу сделать лог HijackThis, после работы HijackThis комп зависает наглухо, AVZ не запускается никак даже полиморф, пофиксил некоторые непонятные строки, могу запустить СUREIT но он то-же ниче не находит, подскажите дальнейшие действия

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
    2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
    3) Запустить утилиту AVPTool и провести полное сканирование ПК;
    4) Перезагрузить компьютер.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Попробуйте профиксить. м.б. полегчает.
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53
    Цитата Сообщение от snifer67 Посмотреть сообщение
    1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
    2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
    3) Запустить утилиту AVPTool и провести полное сканирование ПК;
    4) Перезагрузить компьютер.
    Все сделал, дохлый номер, DRWEB ничего не нашел, AVP одну уязвимость и все

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните то, что советует PavelA

  7. #6
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53
    Цитата Сообщение от PavelA Посмотреть сообщение
    Попробуйте профиксить. м.б. полегчает.
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    Профиксил, баннер на месте, теперь при попытке записать лог компьютер уходит в перезагрузку

    Добавлено через 2 минуты

    Создал другую учетку, зашел, то-же самое уходит в перезагрузку

    Добавлено через 50 минут

    Зашел под учеткой Администратор в безопасном режиме, отсканировал свежескаченным CUREIT, нашел 1 вирус winlock.569, удалил, перезагрузил, баннер на месте, что делать дальше?

    Добавлено через 1 час 35 минут

    Причина кроется в одном из файлов каталога system32, я пошел уже на крайние меры взял с рабочей машины и скопировал все dll находящиеся в каталоге, перед этим на зараженной машине все удалил, перезагрузил баннер исчез, вернул dll на место опять таблица, как найти этот dll?
    Последний раз редактировалось savir72; 27.12.2009 в 03:17. Причина: Добавлено

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222

  9. #8
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Сканировал, ничего не находит

  10. #9
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53
    Кажнтся нашел зараженные файлы методом интересным, вирус при работе в паку WINDOWS\TEMP\ копирует dll, я посмотрел размер и дату создания и удалил такие точно файлы из system32 только имена у них другие, баннер исчез, посмотрите лог что нужно пофиксить, ссылка то осталась

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Лог пустой.

    Запустить файл из вложения. drv.sys прислать.
    Вложения Вложения
    • Тип файла: zip get4.zip (1.2 Кб, 16 просмотров)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    + к Павлу

    Логи сделать полностью. AVZ теперь должен запуститься
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53
    Цитата Сообщение от PavelA Посмотреть сообщение
    Лог пустой.

    Запустить файл из вложения. drv.sys прислать.
    После запуска приложения комп ушел в перезагрузку

  14. #13
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53
    Цитата Сообщение от thyrex Посмотреть сообщение
    + к Павлу

    Логи сделать полностью. AVZ теперь должен запуститься
    Вот логи, есть еще интересный ньюанс по которому можно вычислить вирус, если вставить флешку в зараженный комп, то вирус пишет на нее autorun.inf и в корзину на флешке помещает dll, а дальше по размеру можно вычислить этот файл
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Пофиксить в HijackThis
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\.\globalroot\systemroot\system32\userinit.exe,
    ПК перезагрузите.

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\llbgpa.dll','');
     DeleteFile('C:\WINDOWS\system32\llbgpa.dll');
     QuarantineFile('G:\sDYQfX.EXe','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('G:\SdyqFX.exE','');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     TerminateProcessByName('c:\windows\system32\csrcs.exe');
     DeleteFile('c:\windows\system32\csrcs.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
     DeleteFile('G:\SdyqFX.exE');
     DeleteFile('G:\autorun.inf');
     DeleteFile('G:\sDYQfX.EXe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(11);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновите базы avz,
    Сделайте новые логи.

  16. #15
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Сделайте новые логи.
    Новые логи
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53
    Цитата Сообщение от savir72 Посмотреть сообщение
    Кажнтся нашел зараженные файлы методом интересным, вирус при работе в паку WINDOWS\TEMP\ копирует dll, я посмотрел размер и дату создания и удалил такие точно файлы из system32 только имена у них другие, баннер исчез
    Нужно ли прислать файлы которые я удалил из системы, они у меня остались ни один из антивирусников на них не реагигурет, проверял DRWEB,KAV,Microsoft Security Essentials

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Нужно ли прислать файлы которые я удалил из системы, они у меня остались ни один из антивирусников на них не реагигурет, проверял DRWEB,KAV,Microsoft Security Essentials
    Пришлите...

    Добавлено через 2 минуты

    Пофиксить в HijackThis
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\.\globalroot\systemroot\system32\userinit.exe,
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    ПК перезагрузите.

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\llbgpa.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(8);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Сделайте новые логи.
    Последний раз редактировалось snifer67; 27.12.2009 в 19:34. Причина: Добавлено

  19. #18
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Сделайте новые логи.
    Новые логи

  20. #19
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    21
    Вес репутации
    53
    Поставил DRweb, не запускается агент, где-то еще нужно поправить, подскажите

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    сделайте лог Gmer

  • Уважаемый(ая) savir72, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Sms Download Master
      От Alex_freelancer в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.01.2010, 15:04
    2. Download master
      От ilnazik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.12.2009, 11:37
    3. Eщё Download Master
      От pb66 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.12.2009, 09:14
    4. Download Master
      От ilyatroitsk в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.12.2009, 06:44
    5. download master
      От corpse в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.12.2009, 23:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01647 seconds with 20 queries