Показано с 1 по 15 из 15.

Личные параметры (заявка № 67208)

  1. #1
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    29
    Вес репутации
    35

    Thumbs up Личные параметры

    Всех со старым новым!
    Как только загрузилась система, и появился рабочий стол, все значки исчезают, появляется небольшое окно с названием «загрузка личных параметров» и показывает какие файлы он грузит. Так 2 – 4 раза. Потом все нормально. Эти файлы лежат :
    C:\JAN\J-1-2-34-000000AAAA-11111111111-5555555555-111\Max.exe
    C:\SIN\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe
    C:\NEXT\FILES\NEXT.exe
    C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe
    Еще не заходит на некоторые сайты, не знаю связано с вирусами или нет, именно с этой машины, дома точка доступа ви-фи и ноут на эти сайты заходит без проблем.
    Последний раз редактировалось demon_hell; 15.08.2010 в 11:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В HiJackThis пофиксите:

    Код:
    R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O2 - BHO: (no name) - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll (file missing
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe','');
     QuarantineFile('C:\NEXT\FILES\NEXT.exe','');
     QuarantineFile('C:\SIN\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe','');
     QuarantineFile('C:\JAN\J-1-2-34-000000AAAA-11111111111-5555555555-111\Max.exe','');
     QuarantineFile('C:\DODA\JENE\NeST.exe','');
     QuarantineFile('C:\Documents and Settings\User\Шаблоны\Brengkolang.com','');
     QuarantineFile('C:\Documents and Settings\User\Рабочий стол\АРТЕАС\system\npkcusb.sys','');
     QuarantineFile('C:\Documents and Settings\User\Рабочий стол\АРТЕАС\system\npkcrypt.sys','');
     DeleteFile('C:\Documents and Settings\User\Шаблоны\Brengkolang.com');
     BC_DeleteFile('C:\Documents and Settings\User\Шаблоны\Brengkolang.com');
     DeleteFile('C:\DODA\JENE\NeST.exe');
     DeleteFile('C:\JAN\J-1-2-34-000000AAAA-11111111111-5555555555-111\Max.exe');
     DeleteFile('C:\SIN\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe');
     DeleteFile('C:\NEXT\FILES\NEXT.exe');
     DeleteFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe');
     DeleteFile(' c:\windows\Tasks\At1.job');
    DelCLSID('63MAD6M8-1MAD-81AD-JIM6-26OP5G1234585');
    DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187463');
    DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187563');
    DelCLSID('67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431');
    DelCLSID('67KLN5K0-4OPM-00WE-AAX5-77EF1D187463');
    DeleteFileMask('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000', '*.*', true);
    DeleteFileMask('C:\NEXT\FILES', '*.*', true);
    DeleteFileMask('C:\SIN', '*.*', true);
    DeleteFileMask('C:\JAN', '*.*', true);
    DeleteFileMask('C:\DODA', '*.*', true);
    DeleteDirectory('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000');
    DeleteDirectory('C:\NEXT\FILES');
    DeleteDirectory('C:\SIN');
    DeleteDirectory('C:\JAN');
    DeleteDirectory('C:\DODA');
    DeleteFileMask('%Tmp%', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + в дополнение сделайте лог Gmer
    Последний раз редактировалось миднайт; 14.01.2010 в 15:07.

  4. #3
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    29
    Вес репутации
    35
    Извиняюсь за большей промежуток между постами, не было возможности отправить.
    Карантин прислал.
    Файл сохранён как 100118_124422_quarantine_4b542d763c31b.zip
    Размер файла 69657
    MD5 fe989d0e458a686ed9d5c71fcf4c1f5c
    Последний раз редактировалось demon_hell; 15.08.2010 в 11:15.

  5. #4
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    29
    Вес репутации
    35
    видимо тему пропустили. ап.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна показать такие строчки
    Код:
    Disk   \Device\Harddisk0\DR0  sector 32: rootkit-like behavior; copy of MBR
    Disk   \Device\Harddisk0\DR0  sector 63: rootkit-like behavior; copy of MBR
    Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое 32 и 63 секторов в каком-нибудь каталоге.
    Пришлите содержимое секторов по правилам. (если файл окажется пустой сообщите.)

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\avulgm.dll','');
    DeleteFile('C:\WINDOWS\system32\avulgm.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится ep21fn82.exe (gmer)
    Код:
    ep21fn82.exe -del service wsmpq
    ep21fn82.exe -del file "C:\WINDOWS\system32\avulgm.dll"
    ep21fn82.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\wsmpq"
    ep21fn82.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wsmpq"
    ep21fn82.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wsmpq"
    ep21fn82.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!

    Сделайте новый лог gmer.

  7. #6
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    29
    Вес репутации
    35
    После предворительного сканирования Gmer не показал строки
    Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
    Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR
    дальше выполнять не стал. Что делать?

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    тогда сделайте полный скан гмер и далее как написано в посте #5

  9. #8
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    29
    Вес репутации
    35
    После запуска гмер и предварительного сканирования всю мощность процессора забивает процесс lsass.exe. соответственно полное сканирование стопорит систему наглухо. при нажатии клавиш пищит системный бипер, мышь висит на месте. гонял несколько раз - результат один.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Пропускаем этот пункт. Выполняйте скрипт AVZ и в гмере.

  11. #10
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    29
    Вес репутации
    35
    При выполнении
    ep21fn82.exe -del file "C:\WINDOWS\system32\avulgm.dll"
    гмер выдал ошибку что то вроде неверный ключ, сейчас уже не помню к сожалению. лог сделать не удается машина виснет при сканировании как и раньше.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Делаете сканирование gmer выгрузив защитное ПО? Попробуйте из безопасного режима сделать.

  13. #12
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    29
    Вес репутации
    35
    Получилось просканировать, секторы 32 и 63 пустые, лог прикрепил.
    Антивирус отключал, но зависать продолжает.
    Последний раз редактировалось demon_hell; 15.08.2010 в 11:15.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    В логе чисто.
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - пора обновляться.
    Что с проблемами?

  15. #14
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    29
    Вес репутации
    35
    В общем, проблемы нет. Вирусы, которые беспокоили изначально, удалены. Спасибо!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\plain\g-2-3-45-111111bbbb-222222222222-6666666666-000\mix.exe - Worm.Win32.AutoRun.hbm ( DrWEB: Win32.HLLW.Autoruner.6412, BitDefender: Trojan.Generic.IS.418816, AVAST4: Win32:Malware-gen )
      2. c:\sin\s-2-3-12-abcdef7890-01234567890-1688963592-500\maq.exe - Trojan.Win32.Pincav.ogy ( DrWEB: BackDoor.Poison.685, BitDefender: Backdoor.Generic.244414, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Crypt-FSK [Trj] )


  • Уважаемый(ая) demon_hell, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 27.07.2010, 12:42
    2. Ответов: 2
      Последнее сообщение: 01.07.2010, 20:52
    3. зараженные параметры в реестре
      От ifstream в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.05.2010, 23:48
    4. Температурные параметры видеокарты
      От Мяу в разделе Аппаратное обеспечение
      Ответов: 6
      Последнее сообщение: 05.02.2008, 10:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00506 seconds with 16 queries