-
Junior Member
- Вес репутации
- 53
Вирус. Ничего не запускается
Добрый день. С компьютерами имею дело очень давно, но с такой проблемой столкнулся впервые. Девушка принесла на флешке вирус. Началось все с того, что Нод перестал грузить ядро. Я начал смотреть процессы, увидел знакомый csrCs вирус. Удалил его, почистил реестр. Нод так и не ожил. Буквально на следующий день, выдает ошибку QTPlugin и компьютер выключается. Несколько раз. После этого, в трее появились странные процесс, под названием 54.exe 32e214.exe и так далее. Появляются на несколько секунд и исчезают. И что самое главное. ВСЕ антивирусники не запускаются. AVZ закрывает через несколько секунд. CureIT не запускается. Нод умер. И что самое интересное. В интернете грузятся все сайты, кроме сайта касперского, нода, дрвеба, вашего, и еще нескольких по вирусам. Мало того, любая скачка любой утилитки, буть то CureIt, AVZ, AVPTool оканчивается неудачей. Пишет, либо ошибку при скачке, либо она обрывается на середине. Вот такие вот чудеса. Как помочь девушке я не знаю. Ах да, в безопастном режиме не грузит. Выдает экран смерти и ребут
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте сделать логи полиморфным AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Полимофрный заработал. Вот логи.
ой, сейчас еще 1 логи сделаю, извиняюсь, не увидел)
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\qwer\ohbn.exe','');
DeleteFile('C:\Documents and Settings\qwer\ohbn.exe');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\tabwmxru.sys','');
DeleteService('tabwmxru');
QuarantineFile('C:\WINDOWS\System32\Drivers\prqmbubd.sys','');
DeleteService('prqmbubd');
QuarantineFile('C:\WINDOWS\System32\Drivers\pqmzyyup.sys','');
DeleteService('pqmzyyup');
QuarantineFile('C:\WINDOWS\System32\Drivers\mqnjbhiw.sys','');
DeleteService('mqnjbhiw');
QuarantineFile('C:\WINDOWS\System32\Drivers\lvwfafdg.sys','');
DeleteService('lvwfafdg');
QuarantineFile('C:\WINDOWS\System32\Drivers\lrsjstyi.sys','');
DeleteService('lrsjstyi');
DeleteService('kycrbrqc');
QuarantineFile('C:\WINDOWS\System32\Drivers\ijlixiyp.sys','');
DeleteService('ijlixiyp');
QuarantineFile('C:\WINDOWS\System32\Drivers\drxqdzvn.sys','');
DeleteService('drxqdzvn');
QuarantineFile('C:\WINDOWS\System32\Drivers\bskteoai.sys','');
DeleteService('bskteoai');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
TerminateProcessByName('c:\windows\system32\quickset.exe');
QuarantineFile('c:\windows\system32\quickset.exe','');
TerminateProcessByName('c:\windows\system32\qtplugin.exe');
QuarantineFile('c:\windows\system32\qtplugin.exe','');
TerminateProcessByName('c:\windows\system32\csimplayer.exe');
QuarantineFile('c:\windows\system32\csimplayer.exe','');
TerminateProcessByName('c:\documents and settings\qwer\csimplayer.exe');
QuarantineFile('c:\documents and settings\qwer\csimplayer.exe','');
TerminateProcessByName('c:\windows\system32\263e42.exe');
QuarantineFile('c:\windows\system32\263e42.exe','');
DeleteFile('c:\windows\system32\263e42.exe');
DeleteFile('c:\documents and settings\qwer\csimplayer.exe');
DeleteFile('c:\windows\system32\csimplayer.exe');
DeleteFile('c:\windows\system32\qtplugin.exe');
DeleteFile('c:\windows\system32\quickset.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\bskteoai.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\drxqdzvn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ijlixiyp.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kycrbrqc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lrsjstyi.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lvwfafdg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\mqnjbhiw.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pqmzyyup.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\prqmbubd.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\tabwmxru.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CsimPlayer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Man-ager');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CsimPlayer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Компьютер перестал включаться совсем =\ Перед загрузкой винды, выдает экран смерти и ребут. В любом виде загрузки. Выполнить скрипт, увы, пока не могу
-
Junior Member
- Вес репутации
- 53
Завел систему. Так как, не был уверен, что получится загрузить его еще раз, выполнил 2 скрипта avz подряд и выполнил лог в HiJackThis. Высылаю все полученные файлы. Скрипт сверху не выполнял, так как решил, что на всякий случай, лучше выложу все полученные логи
Последний раз редактировалось Bratez; 27.12.2009 в 16:18.
Причина: убрал лишнее вложение
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\qwer\Local Settings\Temp\i3.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\qwer\twvraiw.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteService('tabwmxru');
DeleteService('prqmbubd');
DeleteService('pqmzyyup');
DeleteService('mqnjbhiw');
DeleteService('lvwfafdg');
DeleteService('lrsjstyi');
DeleteService('kycrbrqc');
DeleteService('ijlixiyp');
DeleteService('drxqdzvn');
DeleteService('bskteoai');
DeleteService('baoztymq');
DeleteService('jzirazws');
QuarantineFile('c:\windows\system32\quickset.exe','');
TerminateProcessByName('c:\windows\system32\quickset.exe');
QuarantineFile('c:\windows\system32\qtplugin.exe','');
TerminateProcessByName('c:\windows\system32\qtplugin.exe');
QuarantineFile('c:\documents and settings\qwer\csimplayer.exe','');
TerminateProcessByName('c:\documents and settings\qwer\csimplayer.exe');
QuarantineFile('c:\windows\system32\csimplayer.exe','');
TerminateProcessByName('c:\windows\system32\csimplayer.exe');
QuarantineFile('c:\windows\system32\263e42.exe','');
TerminateProcessByName('c:\windows\system32\263e42.exe');
DeleteFile('c:\windows\system32\263e42.exe');
DeleteFile('c:\windows\system32\csimplayer.exe');
DeleteFile('c:\documents and settings\qwer\csimplayer.exe');
DeleteFile('c:\windows\system32\qtplugin.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\jzirazws.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\baoztymq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bskteoai.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\drxqdzvn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ijlixiyp.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kycrbrqc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lrsjstyi.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lvwfafdg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\mqnjbhiw.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pqmzyyup.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\prqmbubd.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\tabwmxru.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CsimPlayer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CsimPlayer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\Documents and Settings\qwer\twvraiw.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\Documents and Settings\qwer\Local Settings\Temp\i3.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнил. После выполнения скрипта, когда система начала выключаться, машина повисла. Пришлось выключать руками. После включения, проблема с невозможностью открытия адресов содержащих антивирусы исчезла. Ваш сайт тоже загрузился. Не полиморфный AVZ перестал закрываться. CureIT запустился, как и AVPTool. В реестр заходит. Однако, проблема с невозможностью включения компьютера в безопасном режиме, и проблема с экраном смерти при обычном запуске - остались. Также, остались подозрительные процессы, с именами 57mlqxp.exe, 4ah7s6.exe. 2eur3xx.exe. CureIT нашел несколько троянов. Логи в процессе выполнения.
-
Junior Member
- Вес репутации
- 53
Вот лог CureIt
secupdat.dat C:\WINDOWS\system32 Trojan.Spambot.6605 Удален.
cdrom.sys C:\WINDOWS\system32\dllcache Trojan.DownLoad.47257 Удален.
cdrom.sys C:\WINDOWS\system32\drivers Trojan.DownLoad.47257 Удален.
Ниже логи AVZ. Карантин выслал
Логи выполнены обычным, а не полиморфным AVZ
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('irovgkey');
DeleteFile('C:\DOCUME~1\qwer\LOCALS~1\Temp\z5216372.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\irovgkey.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\System Volume Information\_restore{5F7D2FAC-E89F-4683-8B1F-0035ED67B9FF}\RP658\A0141938.exe:exe.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
AVZ => Файл => Мастер поиска и устранения проблем. Категория - "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Все сделал. Из проблем остался только очень долгий скандиск и убитый нод, который так и не может найти ядро) Вот лог
-
А в логах у Вас Symantec.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\System Volume Information\_restore{5F7D2FAC-E89F-4683-8B1F-0035ED67B9FF}\RP658\A0141938.exe:exe.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог обычным AVZ (только базы его не забудьте обновить)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Симантек стоял очень давно, но я его ей удалил. Видимо, не полностью... логи будут чуть позже
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\qwer\local settings\temp\i3.exe - Trojan-Downloader.Win32.Genome.aaut ( DrWEB: Trojan.DownLoad1.18510, BitDefender: Gen:Trojan.Heur.PT.bm0@bKYWojgi, AVAST4: Win32:Malware-gen )
- c:\system volume information\_restore{5f7d2fac-e89f-4683-8b1f-0035ed67b9ff}\rp658\a0141938.exe:exe.exe:$data - Packed.Win32.Krap.ai ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Fakealert.1102, AVAST4: Win32:FakeAlert-FJ [Trj] )
- c:\windows\system32\svchost.exe:exe.exe:$data - Packed.Win32.Krap.ai ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Fakealert.1102, AVAST4: Win32:FakeAlert-FJ [Trj] )
-