Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Вирус (заявка № 81316)

  1. #1
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    40
    Вес репутации
    55

    Exclamation Вирус

    Что за вирус я не знаю, вот только заблокированы диспетчер задач, редактор реестра, сайты антивирусов и прочее. Безопасный режим не работает, hijackthis уже не запускается (переименованный). По этому могу лишь предоставить логи AVZ

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Закройте все программы, выгрузите антивирус, фаерволл

    Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Обязательно обновите базы АВЗ!

    Выполните в AVZ скрипт:
    Код:
    begin
    ExecuteRepair(20);
    ExecuteRepair(10);
    ExecuteRepair(12);
    ExecuteWizard('TSW',2,2,true);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\drivers\imolfg.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ax9swx5o.SYS','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\7Ape8NsW.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер сам перезагрузится.
    Выполните после перезагрузки такой скрипт:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'virus.zip');
    end.
    В папке c АВЗ сохранится virus.zip.
    Пришлите его по ссылке Прислать запрошенный карантин вверху темы.

  4. #3
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    40
    Вес репутации
    55
    Сделал. Где можно прочитать(распечатать) что делать если вирус заблокировал все сайты, которые могут помочь? На этот форум с помощью ип мне удалось зайти совершенно случайно

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Цитата Сообщение от Gett Посмотреть сообщение
    что делать если вирус заблокировал все сайты, которые могут помочь?
    Зависит о конкретного случая. Самый оптимальный способ -- обратиться сюда, в раздел Помогите.

    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('abp470n5');
     SetServiceStart('abp470n5', 4);
     DeleteService('abp470n5');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\7Ape8NsW.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\imolfg.sys');
    BC_DeleteSvc('abp470n5');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(12);
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи. Пробуйте лог Hijackthis сделать.

  6. #5
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    40
    Вес репутации
    55
    Сделал.
    Обратиться в раздел Помогите - не самый оптимальный способ, потому что вирусы радостно блокируют доступ ко всем сайтам и страницам, которые могут повредить их жизнедеятельности. Я имел в виду - может есть какая-то утилита, которая снимает такие ограничения, или вроде того

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Цитата Сообщение от Gett Посмотреть сообщение
    может есть какая-то утилита
    Вы при помощи нее логи делаете -- АВЗ называется

    Выполните скрип:
    Код:
    begin
    ExecuteWizard('TSW',2,2,true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\drivers\imolfg.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\imolfg.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(11);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите лог virusinfo_syscheck (2-й стандартный скрипт)

  8. #7
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    40
    Вес репутации
    55
    Сделал. После выполнения скрипта компьютер не смог перезагрузиться - застрял когда были видны обои да курсор мыши.
    "АВЗ называется" как ей снимать такие ограничения? Очистка hosts не помогает

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Пролечитесь, как написано здесь:
    http://virusinfo.info/showthread.php?t=15927
    Если у Вас есть флешки, то их тоже нужно пролечить в обязательном порядке.
    Последний раз редактировалось polar_owl; 19.06.2010 в 17:03. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    40
    Вес репутации
    55
    Благодаря скрипту отсюда http://virusinfo.info/showthread.php?t=9279 мне удалось в безопасном режиме провести полную проверку последней версией Dr.Web CureIt, потом сделать такую же проверку в нормальном режиме. Компьютер не перезагружал.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    cureit на болванку записывали?
    Он нашел чего-нибудь?

    Диск E: это что у Вас?
    E:\btbn.pif -- знаком этот файл?

    Добавлено через 10 минут

    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\btbn.pif','');
    StopService('abp470n5');
     DeleteService('abp470n5'); 
     DeleteFile('C:\WINDOWS\system32\drivers\imolfg.sys');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\YwyTg1IL.sys');
     DeleteFile('E:\autorun.inf');
     DeleteFile('E:\btbn.pif');
    BC_DeleteSVC('abp470n5');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(10);
    ExecuteRepair(11);
    ExecuteRepair(13);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите лог virusinfo_syscheck.zip
    Последний раз редактировалось polar_owl; 20.06.2010 в 13:26. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    40
    Вес репутации
    55
    нет, записать антивирус с здорового компьютера я не имею возможности, но я добавил скачанный файл в архив с паролем. Dr.Web нашёл порядка полуторасотни заражённых файлов (в приложении его лог в архиве)
    Раздел Е - это флэшка, я её вставил перед началом проверки CureIt, как и съемный хард. На Е не должно быть ничего кроме пары видео файлов да презентации
    Последний раз редактировалось Gett; 20.06.2010 в 13:52. Причина: Добавлено

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Проверьтесь этим

  14. #13
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    40
    Вес репутации
    55
    Сервер не найден, немозможно отобразить страницу.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Во вложении
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    40
    Вес репутации
    55
    completed
    Infected files: 128
    Infected processes: 1
    Infected threads: 31
    Cured files: 127
    Executed registry scripts: 1

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    StopService('abp470n5');
     DeleteService('abp470n5');
     DeleteFile('C:\WINDOWS\system32\drivers\imolfg.sys');
     DeleteFile('E:\qtkb.exe');
     DeleteFile('E:\autorun.inf');
    BC_DeleteSVC('abp470n5');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(20);
    BC_Activate;
    RebootWindows(true);
    end.
    Еще раз повторите virusinfo_syscheck.zip

  18. #17
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    40
    Вес репутации
    55
    .

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Побили все-таки мы Ваш sality.
    Выполните процедуру, описанную в первом сообщении здесь:http://virusinfo.info/showthread.php?t=3519
    Результат загрузки сообщите.

    Установите Sp3 (может потребоваться активация)
    + все обновления, вышедшие после.
    Установите IE 8, даже если им не пользуетесь.

    Какие-нибудь проблемы остались?

  20. #19
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    40
    Вес репутации
    55
    Файл сохранён как 100620_223132_virusinfo_files_TROLOLO_4c1e5e84490a 8.zip
    Размер файла 11774673
    MD5 b025f68c7deb472c138ee63f720e33e7
    Спасибо! Из проблем: каждый раз при загрузке системы выскакивает окно Google_Installer c предложением отправить отчет, такое же окно иногда появляется про drwtsn32 (расширение забыл). Недавно Explorer.exe (который оболочка) рухнул во время копирования файлов с внешнего устройства. Может ещё что, да я забыл или не наткнулся пока...
    "Установите SP3" - это реально без переустановки системы? Может есть страница где всё необходимое есть, в том числе и обновления?
    Последний раз редактировалось Gett; 20.06.2010 в 22:43. Причина: Добавлено

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от Gett Посмотреть сообщение
    "Установите SP3" - это реально без переустановки системы?
    Да.

    Цитата Сообщение от Gett Посмотреть сообщение
    Может есть страница где всё необходимое есть, в том числе и обновления?
    windowsupdate.microsoft.com

  • Уважаемый(ая) Gett, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00844 seconds with 19 queries