-
Junior Member
- Вес репутации
- 53
Перезагружается виндовс, вылезают ошибки...
Здравствуйте, проблема такая: Виндовс ХР поймал СМС-баннер, который удалили через сайт "касперского" после виндовс загружается с пятого раза, сам перезагружается в любой момент, появляются "критические" ошибки постоянно.
сделал по инструкции логи только из "безопасного" режима т.к. из обычного не смог запустить АВЗ - виндовс завис
помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.32
- Надо скачать новую версию АВЗ, обновить базы и переделать логи.
-
-
Junior Member
- Вес репутации
- 53
выполнено в "безопасном режиме"
-
- Выполните скрипт в AVZ в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\sutupa.exe','');
QuarantineFile('C:\WINDOWS\system32\75ecfa8d.exe','');
QuarantineFile('C:\Documents and Settings\Лунтик\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\Documents and Settings\Лунтик\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\75ecfa8d.exe');
DeleteFile('C:\WINDOWS\system32\sutupa.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 53
карантин закачал
Файл сохранён как 100803_231253_quarantine_4c586a355c96a.zip
Размер файла 144773
MD5 421ab79dadcb0ca111bdf18f69801321
все сделал как написали
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFileF('%windir%\system32', '*.exe', false,'', 0, 0, '17.07.2010', '3.08.2010');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Карантин:
Файл сохранён как
100804_004632_virus_4c588028bb2c8.zip
Размер файла4561858
MD5683a469b848e787b345dc59e69890ef5
Сообщение от
thyrex
подскажите, сколько эта программа должна работать? после 25 минут висения экрана Комбофикс.....подумал - что-то тут не то
Последний раз редактировалось JIyHTuK; 04.08.2010 в 01:04.
-
Антивирус, файрволл отключили? Попробуйте сделать лог в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
все отключил, запускаю ComboFix, появляется окно рис1, через пару секунд "синий экран" и ребут компьютера
пробовал в "безопасном режиме" появляется окно рис2, потом ошибка рис3.....сколько на ОК не нажимай, появляется вновь
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%windir%\system32\drivers\sfc.sys');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\mssfc.dll');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пробуйте сделать лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Фух, получилось:
Файл сохранён как 100804_020803_virus_4c589343849b3.zip
Размер файла 431117
MD5 b81f5ce60614e390ffe3f7cc3910122c
-
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\pzecgwe.exe
c:\windows\system32\xkkgnsj.exe
c:\windows\system32\iodbapv.exe
c:\windows\system32\qchpri.exe
c:\windows\system32\hiuitlw.exe
c:\windows\system32\aedtksb.exe
c:\windows\system32\evjjtu.exe
c:\windows\system32\jhuefqy.exe
c:\windows\system32\config\systemprofile\Application Data\swqatk.dat
Driver::
eijjnint
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
одно НО, ненашел у себя в дистрибутиве файла - sfcfiles.dll
как-то странно конечно, вобщем скачал из интернета, проверил "касперским" записал в виндовс\систем32
-
Junior Member
- Вес репутации
- 53
наверное не досижу уже сегодня, до выздоровления, спасибо большое за помощь, остальное уже завтра...
-
Файл явно не для Вашего SP3
Скачайте нужный файл из вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
поставил Ваш длл
новый лог
-
Ничего необычного
Удалите ComboFix
Установите Acrobat Reader 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо большое за помощь
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 69
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\лунтик\главное меню\программы\автозагрузка\wwwznv32.exe - Worm.Win32.Pinit.pi ( DrWEB: Trojan.MulDrop1.39607, BitDefender: Trojan.Downloader.Bredolab.EQ, AVAST4: Win32:Crypt-GWP [Drp] )
- c:\windows\system32\aedtksb.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.62, AVAST4: Win32:Malware-gen )
- c:\windows\system32\ajenaci.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\ausqazk.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aeSA2bji, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\bamzftw.exe - Trojan.Win32.Jorik.Shiz.bi ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWbtFgoi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\botiimm.exe - Backdoor.Win32.Shiz.mz ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\buhjnzf.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.60, NOD32: Win32/Spy.Shiz.NBG trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\ctizpql.exe - Trojan.Win32.Jorik.Shiz.bs ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\dbizslp.exe - Backdoor.Win32.Shiz.mx ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a4wbXgci, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\dmhzdpq.exe - Backdoor.Win32.Shiz.gen
- c:\windows\system32\dvaymej.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWWc5vgi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\ebwpasc.exe - Backdoor.Win32.Shiz.mz ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\evjjtu.exe - Backdoor.Win32.Shiz.ms ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4547050, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\gjyxhub.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan )
- c:\windows\system32\hiuitlw.exe - Backdoor.Win32.Shiz.nj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NBG trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\hzberdw.exe - Packed.Win32.Krap.hr ( AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\iodbapv.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a44AM8ci, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\jfywajn.exe - Trojan.Win32.Jorik.Shiz.bi ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWbtFgoi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\jhuefqy.exe - Trojan.Win32.Jorik.Shiz.bj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aiS671oi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\jjrrkpe.exe - Trojan.Win32.Jorik.Shiz.bi ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWbtFgoi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\jlhtrol.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.65, AVAST4: Win32:Malware-gen )
- c:\windows\system32\kabzlts.exe - Trojan.Win32.Jorik.Shiz.bs ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\kkpvcef.exe - Trojan.Win32.Jorik.Shiz.bo ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\kybwquk.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4666185, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\lghzlcx.exe - Backdoor.Win32.Shiz.mz ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\mhoaeug.exe - Backdoor.Win32.Shiz.gen
- c:\windows\system32\mitjrwx.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aGPIaygi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\mxtpfka.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\nspuvgp.exe - Backdoor.Win32.Shiz.mz ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\oykplks.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\pwzpkkm.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aeSA2bji, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\pxcumtd.exe - Trojan.Win32.Jorik.Shiz.bi ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWbtFgoi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\pzecgwe.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\qazvcfh.exe - Backdoor.Win32.Shiz.mz ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\qchpri.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@ampZnUoi )
- c:\windows\system32\qpqptyd.exe - Backdoor.Win32.Shiz.nt ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\riqujki.exe - Trojan.Win32.Jorik.Shiz.bs ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\rtxzvzi.exe - Trojan.Win32.Jorik.Shiz.bs ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\sbqparr.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aeSA2bji, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\seyqzuo.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bihn ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ae0G!im )
- c:\windows\system32\spnavzx.exe - Trojan.Win32.Jorik.Shiz.bs ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\sutupa.exe - Trojan.Win32.Jorik.Shiz.bh ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Trojan.Generic.4540210, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\tnbzqxc.exe - Backdoor.Win32.Shiz.pc ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.TP.gq0@bSz3B4ni, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\ugpefpo.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\uiuhipp.exe - Backdoor.Win32.Shiz.nt ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\unpdfmn.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.60, AVAST4: Win32:Malware-gen )
- c:\windows\system32\uymoagg.exe - Backdoor.Win32.Shiz.pc ( DrWEB: Trojan.PWS.Ibank.60, BitDefender: Gen:Variant.Rimecud.1, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\vchgyit.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\vclgwez.exe - Backdoor.Win32.Shiz.mz ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\veieafe.exe - Trojan.Win32.Jorik.Shiz.ck ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\wobgjzt.exe - Backdoor.Win32.Shiz.mx ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a4wbXgci, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\xkkgnsj.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\ygltick.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\zerjydv.exe - Backdoor.Win32.Shiz.nt ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\znmblpo.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\zsfjdhb.exe - Trojan.Win32.Jorik.Shiz.bi ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWbtFgoi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\75ecfa8d.exe - Backdoor.Win32.Shiz.li ( DrWEB: BackDoor.Siggen.25651, BitDefender: Backdoor.Generic.407254, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:Spyware-gen [Spy] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-