Показано с 1 по 19 из 19.

никак не могу вывести, после перезагрузки все по новой (заявка № 90036)

  1. #1
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    44
    Вес репутации
    51

    никак не могу вывести, после перезагрузки все по новой

    После прохождения Др.Вебом, Хайджеком и МБАМом, перезагружаю комп и опять все по новой те же трояны, черви и т.д. Восстановление системы отключено. В процессе работы любого браузера вылезает Generic Hosts Process for Win32 Servises - обнаружена ошибка и если нажать закрыть стреляется браузер и невозможно разорвать соединение с нетом. Пишу, с зараженного компа, АВЗ какие-то файлы уже поместил в карантин.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\program files\common files\readers_sl.exe');
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');
     TerminateProcessByName('c:\windows\cfdrive32.exe');
     QuarantineFile('%SYSTEM32%\??.EXE','');
     QuarantineFile('C:\WINDOWS\system32\24.exe','');
     QuarantineFile('C:\WINDOWS\system32\78.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\WINDOWS\xucuoyo.exe','');
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('C:\Program Files\Common Files\Readers_sl.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\bcgnlss.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\sklpoac.exe','');
     QuarantineFile('1.exe','');
     DeleteFile('1.exe');
     DeleteFile('C:\Documents and Settings\NetworkService\Application Data\sklpoac.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\bcgnlss.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
     DeleteFile('C:\Program Files\Common Files\Readers_sl.exe');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     DeleteFile('C:\WINDOWS\xucuoyo.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\78.exe');
     DeleteFile('C:\WINDOWS\system32\24.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

    Сделайте новые логи

    + Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  4. #3
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    44
    Вес репутации
    51
    Сразу не получилось ответить - не было интернета. Вот логи RSIT. Карантин также отправлен.

  5. #4
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    44
    Вес репутации
    51
    а вот и повторные логи AVZ, немного с опозданием. До 23-00 вынужден уехать, так что след. отчеты смогу выслать к ночи.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\07.exe');
     DeleteFile('C:\WINDOWS\system32\67.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.


    Сделайте лог GMER

  7. #6
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    44
    Вес репутации
    51
    Невозможно сделать лог Gmer, при запуске выпадает синий экран (bad pool header, stop 0x00000019). ОС - WinXP SP2. Что делать? Скрипт AVZ выполнил.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Сделайте лог ComboFix

  9. #8
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    44
    Вес репутации
    51
    Между 3-4 операциями вылезла ошибка "pev.cfxxe", нажал "закрыть", пошло дальше. На stage 50 синий экран (код не успел записать) и перезагрузка... Я так понимаю, по наличию схожих ехе-шников, моя проблема родственна проблеме Shini032. Открыл его отчет ComboFix и первое, что бросилось в глаза: THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED. Я делал все, как сказано тут http://virusinfo.info/showthread.php?t=58309. Соответственно поставил консоль, когда появился запрос. Может, не надо было этого делать? Для чего была необходимость устанавливать консоль?
    Последний раз редактировалось Deepforest Elf; 18.10.2010 в 23:27.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от Deepforest Elf Посмотреть сообщение
    Может, не надо было этого делать? Для чего была необходимость устанавливать консоль?
    Чтобы имень возможность восстановить файлы... Попробуйте повторно запустить CF

  11. #10
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    44
    Вес репутации
    51
    Запускал 3 раза - тоже самое, на stage 3 вылетает ошибка приложения pev.cfxxe, всё стоит на месте, нажимаю "закрыть" окна ошибки, процессы продолжаются, на stage 50 перезагрузка, при включении "система восстановлена после критической ошибки". Все вроде по инструкции, антивирусы вообще удалены, никаких приложений не запущено, ничего в процессе работы не нажимается. А ComboFix можно запустить в Безопасном Режиме, если это конечно что-то даст? И на данной стадии имеет ли смысл начать установку обновлений\IE\Adobe приложений и пр.?
    Последний раз редактировалось Deepforest Elf; 20.10.2010 в 11:03.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Сделайте лог МВАМ раз такое дело

  13. #12
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    44
    Вес репутации
    51
    Вот лог MBAM.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Тут чисто. Попробуйте сделать лог CF в безопасном режиме

  15. #14
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    44
    Вес репутации
    51
    Вот лог CFиз безопасного режима...

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    
    Folder::
    
    NetSvc::
    zzogifp
    iaqot
    
    Driver::
    zzogifp
    iaqot
    
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "5356:TCP"=-
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  17. #16
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    44
    Вес репутации
    51
    Вот лог CF

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Что с проблемой?

  19. #18
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    44
    Вес репутации
    51
    На диагностику наличия\отсутствия проблем потребуется какое-то время, ответ дам ближе к вечеру, т.к. перед выпуском машины в интернет необходимо полностью подготовиться: антивирус, файерволл, обновления... не хочу опять 4 дня заниматься лечением. Без интернета никаких вредоносных проявлений: скрытые папки отображаются, диспетчер запускает, в реестр заходит, reader_sl больше не пытается заразить флэшку, сообщений о неверных путях 1.exe и т.д. не появляется. Исчез пункт "Выполнить" из меню "Пуск", почитал здесь на форуме и погуглил, попробовал и в реестре и сочетанием клавиш - не помогло... но это меньшее из бед. Заранее СПАСИБО за проделанную работу!

    Добавлено через 10 часов 41 минуту

    Проделанная работа: установлены все обновления для WinXPSP2, IE, переустановлены Adobe Reader и Adobe FlashPlayer, Ява, перед этим вычищены куки, кэш и пр., "Выполнить" благополучно вернул на свое место, установлен антивирус и файервол. При выходе в интернет файервол молчит, браузер адекватен. Похоже, что все спокойно. Огромное человеческое спасибо за проделанную работу!!! Тему можно закрывать.
    Последний раз редактировалось Deepforest Elf; 21.10.2010 в 21:39. Причина: Добавлено

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администратор\\application data\\ltzqai.exe - Trojan.Win32.Pincav.aius ( DrWEB: Trojan.Inject.11296, BitDefender: Worm.Generic.358028, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
      2. c:\\program files\\common files\\readers_sl.exe - Trojan.Win32.Buzus.fvld ( DrWEB: Trojan.MulDrop2.9795, BitDefender: Gen:Variant.Buzus.4, AVAST4: Win32:Inject-AJW [Trj] )
      3. c:\\windows\\cfdrive32.exe - Backdoor.Win32.SdBot.uof ( DrWEB: Trojan.Spambot.9106, BitDefender: IRC-Worm.Generic.15322, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )
      4. c:\\windows\\system32\\msvmiode.exe - Trojan.Win32.VB.aljh ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.5193231, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Rebhip-AC [Trj] )
      5. c:\\windows\\system32\\07.exe - P2P-Worm.Win32.Palevo.axei ( DrWEB: Trojan.Inject.11299, BitDefender: Worm.Generic.292273, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      6. c:\\windows\\system32\\24.exe - P2P-Worm.Win32.Palevo.axdu ( DrWEB: Trojan.DownLoader1.29406, BitDefender: Worm.Generic.285488, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      7. c:\\windows\\system32\\67.exe - P2P-Worm.Win32.Palevo.axei ( DrWEB: Trojan.Inject.11299, BitDefender: Worm.Generic.292273, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      8. c:\\windows\\system32\\78.exe - P2P-Worm.Win32.Palevo.axdx ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.KD.50591, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      9. c:\\windows\\system32\\81.exe - P2P-Worm.Win32.Palevo.axei ( DrWEB: Trojan.Inject.11299, BitDefender: Worm.Generic.292273, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      10. c:\\windows\\system32\\88.exe - P2P-Worm.Win32.Palevo.axei ( DrWEB: Trojan.Inject.11299, BitDefender: Worm.Generic.292273, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Deepforest Elf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 27.11.2009, 10:37
    2. Помогите, пжл, не могу вывести Трояна
      От kostyadk в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 31.08.2009, 11:42
    3. Ответов: 8
      Последнее сообщение: 09.05.2009, 19:42
    4. DrWeb обнаружил вирус. Не могу вывести
      От gvasily в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.03.2009, 18:37
    5. Залез троян не могу его вывести
      От Алексей11 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.12.2008, 12:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01140 seconds with 19 queries