Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Воссоздаётся удаляемый файл и заблокированы некоторые программы (заявка № 72319)

  1. #1
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    32

    Thumbs up Воссоздаётся удаляемый файл и заблокированы некоторые программы

    Добрый день.

    Поудалял с компьютера кучу вирусов с помощью Virus Removal Tool и DrWeb (системный диск подцеплял для чистки к другому чистому компьютеру).
    На "больном" компьютере были визуальные симптомы - постоянное обращение к дисководу для дискет, не запускались некоторые exe-шники (в том числе AVZ и CureIt), на флэшке пересоздавались скрытые авторан.ини и папка рециклер, не запускался в безопасном режиме. (На компьютере стоял и молчал AVG)

    После установки "почищенного" диска обратно в компьютер и повторного сканирования с помощью Virus Removal Tool, CureIt и AVZ появились безопасный режим, прекратился треск флоппи-дисковода, перестали создаваться на флэшке автораны.

    Но остался заблокирован запуск некоторых файлов, продолжает восстанавливаться после удаления с перезагрузкой (через AVZ) файл Win\system32\appmgmts.dll (в свойствах производитель - шеньженьский QVOD технолоджи) - он вызывает подозрение у AVZ.

    p.s. безопасный режим опять не загружается - доходит до синего окна с сообщением о якобы сбойном диске, который надо тестировать

    virusinfo_syscheck.zip создавался на компьютере без подключения к интернету
    Последний раз редактировалось ysb; 09.05.2010 в 10:02.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    O2 - BHO: zyhlibP - {59E7ACF5-7887-4256-89DC-133B9D9D0424} - (no file)
    O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     StopService('fuj');
     StopService('acpi24Drv');
     StopService('vyuki');
     QuarantineFile('C:\WINDOWS\vsrd.exe','');
     QuarantineFile('C:\WINDOWS\system32\vyook.exe','');
     StopService('DescriptionHero2');
     QuarantineFile('C:\WINDOWS\system32\QIRCXRLAIX\D001.exe','');
     DeleteService('fuj');
      QuarantineFile('C:\WINDOWS\system32\QIRCXRLAIX\M001.exe','');
     DeleteService('vyuki');
     StopService('vyuki');
     QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
     DeleteService('acpi24Drv');
     QuarantineFile('C:\WINDOWS\system32\drivers\uooasd.sys','');
     DeleteService('jwzgrnuzq');
     StopService('jwzgrnuzq');
     DeleteFile('C:\WINDOWS\system32\drivers\uooasd.sys');
     DeleteFile('C:\WINDOWS\system32\acpi24.sys');
     DeleteFile('C:\WINDOWS\system32\QIRCXRLAIX\M001.exe');
     DeleteFile('C:\WINDOWS\system32\QIRCXRLAIX\D001.exe');
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    32
    повторные логи
    карантин отправил
    Последний раз редактировалось ysb; 09.05.2010 в 10:02.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1.
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     StopService('nykhlpphfefgho');
     QuarantineFile('C:\WINDOWS\system32\drivers\dsyvtsy.sys','');
     BC_ImportAll;
     BC_QrFile('C:\WINDOWS\system32\drivers\dsyvtsy.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  6. #5
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    32
    повторный карантин отправил

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    поищите файл C:\WINDOWS\system32\drivers\dsyvtsy.sys, если найдете попробуйте заархивировать в архив ZIP с паролем: virus и пришлите его по ссылке Прислать запрошенный карантин вверху темы.

    -если так не получится, сделайте так

    1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
    2. Скопируйте C:\WINDOWS\system32\drivers\dsyvtsy.sys в другую папку и переименуйте
    3. Удалите файл в исходном месте
    4. Загрузитесь в нормальном режиме и отключите антивирус
    5. Заархивируйте переименованный файл в архив ZIP с паролем: virus и пришлите его по ссылке Прислать запрошенный карантин вверху темы.
    6. Сделайте новые логи

  8. #7
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    32
    файл C:\WINDOWS\system32\drivers\dsyvtsy.sys не обнаруживается ни на работающем компьютере, ни на диске, снятом и подключенном к другому копьютеру

    На работающем компьютере продолжает восстанавливаться файл C:\WINDOWS\system32\appmgmts.dll и стало видно восстановление в корне диска С его "родственника" (судя по названию производителя) booter.exe/
    Оба файла стали позволять удалять себя вручную, но после перезагрузки восстанавливаются.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Цитата Сообщение от ysb Посмотреть сообщение
    C:\WINDOWS\system32\appmgmts.dll
    - чистый.
    сделайте лог virusinfo_syscheck.zip

  10. #9
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    32
    Цитата Сообщение от polword Посмотреть сообщение
    - чистый.
    Теперь в его свойствах написано - разработчик Майкрософт

    p.s. после перезагрузки снова - "разработчик QVOD" и восстанавливается в корне диска booter.exe

    Лог прилагаю
    Последний раз редактировалось ysb; 09.05.2010 в 10:02.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    попробуйте найти и скопировать файл C:\WINDOWS\system32\drivers\dsyvtsy.sys с помощью ICE Sword
    как скопировать с помощью ICE Sword

    если получится - заархивируйте в zip архив с паролем - virus и пришлите по ссылке Прислать запрошенный карантин вверху темы
    Последний раз редактировалось polword; 26.02.2010 в 13:40. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    32
    С помощью ICE Sword такой файл тоже не виден и не находится поиском

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Здравствуйте. Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\dsyvtsy.sys','');
     DeleteService('nykhlpphfefgho');
     QuarantineFile('C:\WINDOWS\System32\drivers\GDEMGS.SYS','');
     DeleteService('GDEMGS');
     QuarantineFile('C:\WINDOWS\vsrd.exe','');
     DeleteService('trsdg');
     QuarantineFile('C:\WINDOWS\system32\vyook.exe','');
     DeleteService('DescriptionHero2');
     DeleteFile('C:\WINDOWS\system32\vyook.exe');
     DeleteFile('C:\WINDOWS\vsrd.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\GDEMGS.SYS');
     DeleteFile('C:\WINDOWS\system32\drivers\dsyvtsy.sys');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  14. #13
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    32
    Добрый вечер.
    Карантин выслал, логи прилагаю.

    Два надоедливых файла после скрипта продолжают самовосстанавливаться
    Последний раз редактировалось ysb; 09.05.2010 в 10:02.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Пофиксить в Hijack
    Код:
    O20 - Winlogon Notify: crypt - crypts.dll (file missing)
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
    QuarantineFile('C:\WINDOWS\system32\appmgmts.dll','');
     RenameFile('%windir%\system32\appmgmts.dll', '%windir%\system32\appmgmts.bak');
     CopyFile('%windir%\system32\dllcache\appmgmts.dll', '%windir%\system32\appmgmts.dll');
     DeleteFile('%windir%\system32\appmgmts.bak');
    DeleteFile('C:\WINDOWS\system32\crypts.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  16. #15
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    32
    Карантин отправил, логи прилагаю.
    Два QVOD-овских файла продолжают восстанавливаться
    Последний раз редактировалось ysb; 09.05.2010 в 10:02.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('digeste.dll','');
     QuarantineFile('C:\WINDOWS\system32\actmovieh.exe','');
     RenameFile('%windir%\system32\appmgmts.dll', '%windir%\system32\appmgmts.bak');
     CopyFile('%windir%\system32\dllcache\appmgmts.dll', '%windir%\system32\appmgmts.dll');
     DeleteFile('%windir%\system32\appmgmts.bak');
     DeleteFile('C:\WINDOWS\system32\actmovieh.exe');
     DeleteFile('digeste.dll');
    ExecuteSysClean;
    Executerepair(10);
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  18. #17
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    32
    Карантин отправил, логи прилагаю
    Последний раз редактировалось ysb; 09.05.2010 в 10:02.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('digeste.dll','');
     QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
     DeleteFile('C:\WINDOWS\system32\actmovieh.exe');
      DeleteFile('digeste.dll');
     DeleteFile('C:\WINDOWS\system32\digeste.dll');
    BC_ImportAll;
    BC_DeleteFile('C:\WINDOWS\system32\actmovieh.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Сделайте замену файла appmgmts.dll из дистрибутива. Как проводить замену, см. здесь--http://virusinfo.info/showthread.php?t=51654

  20. #19
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    32
    Карантин отправил
    appmgmts.dll заменял и из dllcache (был Майкрософтовский) и из дистрибутива - после перезагрузки меняется на QVOD-ский и воссоздаётся уделённый из корня exe-шник

  21. #20

  • Уважаемый(ая) ysb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 12.06.2012, 13:45
    2. Заблокированы некоторые сайты (заявка №29623)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 13.09.2010, 17:00
    3. заблокированы некоторые сайты
      От Bolec в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.04.2010, 10:25
    4. Ответов: 7
      Последнее сообщение: 14.01.2010, 15:40
    5. Ответов: 11
      Последнее сообщение: 03.11.2008, 02:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00158 seconds with 16 queries