Показано с 1 по 15 из 15.

Нужно срочно восстановить систему! Помогите! (заявка № 6856)

  1. #1
    Junior Member Репутация
    Регистрация
    21.11.2006
    Сообщений
    7
    Вес репутации
    64

    Exclamation Нужно срочно восстановить систему! Помогите!

    Здравствуйте!

    Операционная система WinXP SP2.
    Проблемма появилась сегодня утром, когда перестали работать все дос-приложения(Клиент-Банк, Парус, даже autoexec.bat) - при запуске дос-приложений, появлялась ошибка - Попытка обращения к неверному адресу. Сразу проверил систему на вирусы антивирусом Nod32. Был выявлен вирус - Win32/TrojanDropper.Juntador.Ctrojan. Антивирис показала, что было инфицировано два файла библиотеки - systu.dll и bt848rom.dll, т.к. библиотеки левые, я сразу их удалил. Последующие проверки системы на вирусы ничего не дали - система была с виду сдорова, но проблемма с дос-приложениями не была решина окончательно. После многочисленных советов моих друзей(программеров, системщиков) результата положительного тоже не удалось добиться и все твердили, что нужно переустановить Windows. Но windows переустанавливать крайне не рекомендуеться - требуеться установка программного обеспечения с помощью системщика компании разработки данного программного обеспечения, а т.е. вызывать его с обласного центра, да и настройка Клиент-Банка для нескольких банков тоже требует вызов мастера на фирму.
    Поэтому и нужно постараться решить вопрос самостоятельно, но если не будет другого выхода, будем переустанавливать.

    На данный момент Nod32 выдает следующее:

    1. Time Module Object Name Threat Action User Information
    21.11.2006 16:17:37 AMON file D:\install\avz4\Quarantine\2006-11-21\avz00001.dta a variant of Win32/Spy.Goldun.GU trojan quarantined - deleted LINA\Administrator Event occurred on a new file created by the application: D:\install\avz4\avz.exe. The file was moved to quarantine. You may close this window.

    2. Time Module Object Name Threat Action User Information
    21.11.2006 16:17:15 AMON file C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\avz_3864_raw.tm p probably a variant of Win32/Rootkit.Agent.AT trojan quarantined - deleted LINA\Administrator Event occurred on a new file created by the application: D:\install\avz4\avz.exe. The file was moved to quarantine. You may close this window.

    3. Time Module Object Name Threat Action User Information
    21.11.2006 11:05:13 AMON file C:\WINDOWS\userinit.exe Win32/TrojanDropper.Juntador.C trojan deleted LINA\Administrator Event occurred at an attempt to access the file by the application: C:\WINDOWS\Explorer.EXE.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Причин для переустановки системы пока не видно ... а вот подозрительные файлы есть. Пришлите пожалуйста в соответствии с правилами файлы:
    C:\WINDOWS\System32\bt848rom.dll
    C:\WINDOWS\system32\helper.dll
    C:\WINDOWS\system32\k53lock.sys
    C:\WINDOWS\system32\systu.dll
    D:\install\avz4\Quarantine\2006-11-21\avz00001.dta (тот файл карантина, на который ругается NOD)
    В ходе поиска файлов и их карантина стоит отключить монитор NOD - если он попдозревает что-то, то может блокировать доступ к файлу и не даст его поместить в карантин

  4. #3
    Junior Member Репутация
    Регистрация
    21.11.2006
    Сообщений
    7
    Вес репутации
    64
    Другие файлы не удалось найти, скорее всего НОД их сам удалил.

    Как сделать, чтобы работали дос-приложения?
    Последний раз редактировалось anton_dr; 22.11.2006 в 13:10.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Файлы надо присылать в соответствии с Приложением 2.

    Dr.Web говорит: BackDoor.Jiagate

    Ещё Panda и Fortinet что-то подозревают. См. http://virusinfo.info/showthread.php?p=85004#post85004

  6. #5
    Junior Member Репутация
    Регистрация
    21.11.2006
    Сообщений
    7
    Вес репутации
    64
    Как мне вылечить компьютер?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Результат загрузки
    Файл сохранён как 061122_051109_helper_4564223dcd442.rar
    Размер файла 18967
    MD5 4cb0e7fdb7543bddbe22d53efacd3d45

    Файл закачан, спасибо!

  8. #7
    Junior Member Репутация
    Регистрация
    21.11.2006
    Сообщений
    7
    Вес репутации
    64
    Спасибо за интерес к теме, но с ответов в теме, я не могу понять как мне решить мою проблемму.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Сделайте новые логи при отключённом NOD, а то непонятно, что сейчас есть, чего нет.
    C:\WINDOWS\system32\helper.dll я бы куда-нибудь переместил и посмотрел, что из этого выйдет - сломается что-нибудь жизненно важное или наоборот, станет легче.

  10. #9
    Junior Member Репутация
    Регистрация
    21.11.2006
    Сообщений
    7
    Вес репутации
    64
    Прошлые логи делал при отключеном ноде.

    Сделал новые логи.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Пришлите вот эти файлы:
    Код:
    C:\WINDOWS\system32\systu.dll
    C:\WINDOWS\system32\bt848rom.dll
    C:\WINDOWS\system32\k53lock.sys
    Два последних точно есть, они в памяти висят. Искать с помощью AVZ, с включённым противодействием руткитам, при отключённом NOD, чтобы опять не помешал.

  12. #11
    Junior Member Репутация
    Регистрация
    21.11.2006
    Сообщений
    7
    Вес репутации
    64
    АВЗ не захотел добавлять эти файлы в карантин.
    Я заархивировал эти файлы сам.

    Результат загрузкиФайл сохранён как 061122_101424_files_45646950e3d36.rar
    Размер файла 21976
    MD5 bb5e07e0042ec47bddef5d63d5ab4160

    Файл закачан, спасибо!

  13. #12
    Visiting Helper Репутация
    Регистрация
    27.01.2006
    Сообщений
    55
    Вес репутации
    67
    Оба (bt848rom.dll и k53lock.sys) - Trojan-Spy.Win32.Goldun.le

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Оба надо убить через отложенное удаление AVZ, подтвердить зачистку системы. Перед этим пофиксите:
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\systu.dll
    Потом сделайте новые логи.

  15. #14
    Junior Member Репутация
    Регистрация
    21.11.2006
    Сообщений
    7
    Вес репутации
    64
    bt848rom.dll и k53lock.sys в обычной загрузке Виндовс не видны.
    В безопасном режиме эти файлы видны, но невозможно их удалить.
    Я устал бороться с этим трояном, да и одно рабочее место в бухгалтерии уже 3 день пустует.
    Буду сегодня переустанавливать виндовс.
    Извините за беспокойство.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    А чем и как удаляли? AVZ не справляется?
    Не торопитесь. Попробуйте ещё Avenger.
    Скрипт:
    Код:
    Files to delete:
    C:\WINDOWS\system32\bt848rom.dll
    C:\WINDOWS\system32\k53lock.sys

  • Уважаемый(ая) aleks_sklyar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите восстановить систему.
      От Gorski в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.09.2011, 11:25
    2. Помогите восстановить систему
      От Андрей_68 в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 14.04.2011, 15:16
    3. Помогите восстановить систему
      От Gorski в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 04.06.2010, 15:44
    4. Помогите восстановить систему
      От Е.Ш. в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.03.2009, 15:34
    5. Помогите восстановить систему
      От Motl2000 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.02.2008, 23:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00181 seconds with 18 queries