Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 38.

Cureit обнаружил: 1. wfsintwq.sys инфицирован Win32.HLLM.Beagle.990, 2. hYFlj4M4.exe.part , возможно, инфицирован BACKDOOR.Trojan, 3. flec006.exe инфицирован Trojan.DownLoad1.60176 (заявка № 80435)

  1. #1
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    17
    Вес репутации
    51

    Thumbs up Cureit обнаружил: 1. wfsintwq.sys инфицирован Win32.HLLM.Beagle.990, 2. hYFlj4M4.exe.part , возможно, инфицирован BACKDOOR.Trojan, 3. flec006.exe инфицирован Trojan.DownLoad1.60176

    Здравствуйте.
    Ситуация в следующем:
    однажды отключив свой антивирус НОД32, не смогла его включить, так как писал о повреждении запускаемого файла.
    скачала с др.вэб cureit, проверила, обнаружилось
    1. wfsintwq.sys инфицирован Win32.HLLM.Beagle.990,
    2. hYFlj4M4.exe.part , возможно, инфицирован BACKDOOR.Trojan,
    3. flec006.exe инфицирован Trojan.DownLoad1.60176
    нажала лечить, было не возможно-удалила.
    так же перестал работать QIP, загружается, но с пустым списком контактов, а так же показывает что я в сети, но друзья говорят я в офф. запустила тот же квип с другого номера, все работало прекрасно. на следующий день перестал работать и со второго номера. так же пусто и в сети.
    в диспетчере задач периодически появляется задача будто бы запущена программа Стронг DC++ и подключена к неизвесному мне хабу, по факту она не запущена, и я ей не пользуюсь неск лет. более того я была уверена что она удалена, и в панеле управления "уст и удал программ" ее не нашла.
    нашла ваш сайт, прочитала, и начала выполнять ваши "правила"
    1. скачала 3 утилиты(не без проблем, так как при нажатии на ваши зеркала браузер сразу же закрывался, то же самое происходило при вводе названия hijackthis в гугл, яндекс и в поиск DC++, а так же при нажатии на любые ссылки на эту программу. в итоге мне их скинули по почте) Снесла mcafee полностью.
    2. хотела проверить еще раз cureit в безопасном режиме, но войти в него мне не удалось, так как после нажатия "загрузить в без.режиме"вылез синий экран с информацией о невозможности загрузиться, и преждложением проверить комп на вирусы.
    поэтому проверяла из обычного режима. обнаружились так же 3 вируса. нажала лечить, было не возможно-удалила. перезагрузилась.
    3.распоковать AVZ не удалось, так как выдало кучу сообщений о поврежденных файлах. Скачала AVZ не в архиве, папкой из DC++. запускаю-виснет папка в которой он находится, ничего не происходит, висит. через диспетчер задач снимаю задачу. и так 10 раз. качала с других мест, другие папки, архивы, эффект один.

    в связи с тем, что я застряла на третьем шаге подготовки к диагностике, то протоколов выслать не могу.
    надеюсь вы сможете мне подсказать как выйти из этой ситуации, и все таки сделать диагностику.
    заранее спасибо, Наталия.

    Добавлено через 1 час 19 минут

    Уважаемые!!! пожалуйста!!! не игнорируйте, я четко следовала правилам!!! я не виновата, что программы утилиты не запускаются!!подскажите что сделать, или скажите что вы мне помочь не можете, чтоб я не сидела и ждала вашей помощи!!!пожалуйста!!!
    хайджек тоже не запускается, ни обычный, не скачанный переименнованный! запускаю, и ничего не происходит!
    очень прошу, ответьте..
    Последний раз редактировалось lioness; 08.06.2010 в 16:17. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    17
    Вес репутации
    51
    спасибо.
    Скачала, не запускается, сразу виснет, переименовать не удается, при первом же клике на файл папка содержащая файл "не отвечает в диспетчере" и ничего не происходит, удаляю задачу с помощью диспетчера.

    простите, я не скачала его на рабочий стол.
    исправилась. скачала на раб стол. теперь он при запуске выдает combofix.exe не является приложением Win32? после переименования тоже самое.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Скачайте "OSAM" (Online Solutions Autorun Manager).

    Лог работы OSAM запакуйте и прикрепите к своему сообщению
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Попробуйте полиморфный авз http://gjf.hotbox.ru/mink.pif

  7. #6
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    17
    Вес репутации
    51
    установила, запустила, лог прикрепляю.
    огромное спасибо, что не отказали в помощи.
    Вложения Вложения
    • Тип файла: rar osam.rar (11.4 Кб, 15 просмотров)

  8. #7
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    17
    Вес репутации
    51
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Попробуйте полиморфный авз http://gjf.hotbox.ru/mink.pif
    скачала, запускаю, на доли секунды как будто появляется какое-то окно(увидеть не возможно очень быстро), изчезает, и ничего не происходит.

    Добавлено через 1 час 28 минут

    нет спасения моей системе?

    Добавлено через 2 часа 29 минут

    без комментариев?
    Последний раз редактировалось lioness; 08.06.2010 в 20:53. Причина: Добавлено

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Не отказывают Вам в помощи. Просто бесцеремонно вмешиваются некоторые товарищи

    Запустите OSAM. Когда закончится сканирование, в меню драйверов правой кнопкой по srosa и выберите "Turn Run Off", потом подтвердите перезагрузку.
    Повторите эти действия для sK9Ou0s

    После этого заново скачайте AVZ (обновите его базы) и ComboFix, попробуйте подготовить логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от lioness Посмотреть сообщение
    не поняла, почему из-за поста Aleksandra мне отказывают в помощи?
    Продолжайте здесь, Вам помогут.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    "drvsyskit" "Info soft" C:\Documents and Settings\Администратор\Application Data\drivers\winupgro.exe
    "mule_st_key"
    Перед перезагрузкой обязательно снимите галочки или удалите эти записи в секции Run

    Т.е. лучше все делать одновременно -
    Запустите OSAM. Когда закончится сканирование, в меню драйверов правой кнопкой по srosa и выберите "Turn Run Off",
    Повторите эти действия для sK9Ou0s
    после этого снимите те ключи, что указал я и перезагрузитесь.

  12. #11
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    17
    Вес репутации
    51
    запустила осам, после сканирования сделала как вы велели по srosa, перезагрузила, вновь после сканирования так же сделала с sK9Ou0s, но запроса на перезагрузку не всплыло(может потому что sK9Ou0s не был выделен красным?), там было второе красное srosa, сделала Turn run off и для него, подтвердила перезагрузку.
    скачала вновь архив авз, не распаковал.
    скачала комбофикс, запускаю, вылезает "....комбофикс.ехе не являнется приложением win 32.
    переименовала-то же самое.

    Добавлено через 2 минуты

    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Перед перезагрузкой обязательно снимите галочки или удалите эти записи в секции Run
    эээ, прочитала уже после того как все сделала.

    thyrex,это оять кто-то "бесцеремонно влез", или сделать так как он пишет?
    Последний раз редактировалось lioness; 09.06.2010 в 09:40. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    делайте все одновременно, как я Вам написал. Иначе нет смысла, т.к. установщик из run вновь ставит драйвер.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от lioness Посмотреть сообщение
    thyrex,это оять кто-то "бесцеремонно влез", или сделать так как он пишет?
    Нет, в данном случае всё в порядке, выполняйте.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Скриншот прикрепился нормально.

    Добавлено через 50 минут

    После манипуляций с OSAM нужно сделать выполнить скрипт в авз:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%System32%\drivers\srosa.sys','');
     QuarantineFile('%System32%\drivers\hldrrr.exe','');
     QuarantineFile('%System32%\wintems.exe','');
     QuarantineFile('%System32%\drivers\mdelk.exe','');
     QuarantineFile('%System32%\mdelk.exe','');
     DeleteFile('%System32%\drivers\hldrrr.exe');
     DeleteFile('%System32%\drivers\srosa.sys');
     DeleteFile('%System32%\wintems.exe');
     DeleteFile('%System32%\drivers\mdelk.exe');
     DeleteFile('%System32%\mdelk.exe');
    BC_ImportALL;
    ExecuteSysClean;
    If DirectoryExists('%System32%\drivers\down') then
    begin
    DeleteFileMask('%System32%\drivers\down', '*.*', true);
    DeleteDirectory('%System32%\drivers\down');
    If DirectoryExists('%System32%\drivers\down') then
    AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
    end
     else
    AddToLog('Папки down нет');
    If DirectoryExists('%System32%\drivers\downld') then
    begin
    DeleteFileMask('%System32%\drivers\downld', '*.*', true);
    DeleteDirectory('%System32%\drivers\downld');
    If DirectoryExists('%System32%\drivers\downld') then
    AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
    end
     else
    AddToLog('Папки downld нет');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    begin
    AddToLog('Обнаружен параметр в реестре drvsyskit');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
    AddToLog('Ошибка удаления параметра drvsyskit') else
    AddToLog('Параметр drvsyskit успешно удален');
    end; 
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    begin
    AddToLog('Обнаружен параметр в реестре german.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
    If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
    AddToLog('Ошибка удаления параметра german.exe') else
    AddToLog('Параметр german.exe успешно удален');
    end; 
    if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    begin
    AddToLog('Найден ключ реестра FirstRRRun');
    RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
    If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
    AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
    AddToLog('ключ реестра FirstRRRun успешно удален');
    end;
    BC_DeleteSvc('srosa');
    BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
    If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
    SaveLog(GetAVZDirectory + 'B_d.txt');
    RebootWindows(true);
    end.
    Последний раз редактировалось Alex_Goodwin; 09.06.2010 в 10:59. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    17
    Вес репутации
    51
    ура!!!! все получилось!! СПАСИБО!

  17. #16
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    17
    Вес репутации
    51
    опять ваше дополнение прочла после всего выполненного, сейчас все сделаю.

    Добавлено через 7 минут

    всё сделала, комп перезагрузился.
    Последний раз редактировалось lioness; 09.06.2010 в 11:09. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Безопасный режим работает? Антивирус?
    Выполните скрипт и загрузите карантин по правилам. Компьютер перезагрузится!
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sol.exe','');
     QuarantineFile('C:\Program Files\VistaDriveIcon\VistaDrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mcxonl.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Запустите в АВЗ Мастер поиска и устранения проблем и устраните:
    Код:
     >>  Таймаут завершения процессов находится за пределами допустимых значений
     >>  Таймаут завершения служб находится за пределами допустимых значений
     >>  Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
     >>  Заблокирован пункт меню Справка и техподдержка
     >>  Разрешен автозапуск с HDD
     >>  Разрешен автозапуск с сетевых дисков
     >>  Разрешен автозапуск со сменных носителей
    Проверьтесь CureIt.

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    А также

    Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
    Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а ссылку пришлите на указанный электронный адрес
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    17
    Вес репутации
    51
    в АВЗ Мастер поиска и устранения проблем так же выявил "нарушение ассоциации SCR файлов" я его не устранила, только то что вы написали выше.
    безопасный работает, антивирус установленный ранее всё так же не запускается.
    при загрузке системы постоянно выскакивает окно, скрин (11.жпг) прилагаю.
    cureit ничего не нашел


    карантин отправила по правилам, только не знала которые именно файлы из него вам нужны(в правилах нет) отправила все.
    прошел файл??


    квип все так же не грузится. точнее грузится но без списка контактов и друзья говорят что я в офф, хотя квип показывает он лайн.
    Последний раз редактировалось lioness; 09.06.2010 в 12:26.

  21. #20
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    17
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    А также

    Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
    Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а ссылку пришлите на указанный электронный адрес
    отправила

  • Уважаемый(ая) lioness, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. sfcfiles.dll инфицирован Trojan.WinSpy.440
      От magnitico в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.01.2010, 20:52
    2. Px.ax был инфицирован Downloader.trojan
      От McRousseaux в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 05:31
    3. DefLib.sys - инфицирован Trojan.NtRootKit.312
      От zyxard в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:17
    4. ~.exe инфицирован Trojan.Packed.170
      От llogik в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.09.2007, 21:26
    5. svchost.exe - инфицирован Trojan.Wysp
      От tenzor в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.07.2007, 13:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01374 seconds with 18 queries