egils Опубликовано 6 декабря, 2009 Жалоба Поделиться Опубликовано 6 декабря, 2009 Прошу о помощи. Не запускаетса ни NOD, ни hijackthis, ни AVG, ни AVZ. Просканировал последним cureit загрузившись с CD WIN PE, он нашел WIN32.HLLM.Beagle, удалил, но проблема осталась, кто му же работа системы мне не нравится. Помогите ! Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 6 декабря, 2009 Жалоба Поделиться Опубликовано 6 декабря, 2009 Скачайте полиморфный авз http://files.myopera.com/myedde/AV/game.zip попробуйте загрузиться в безопасном режиме, сделайте логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 6 декабря, 2009 Автор Жалоба Поделиться Опубликовано 6 декабря, 2009 Скачайте полиморфный авз http://files.myopera.com/myedde/AV/game.zip попробуйте загрузиться в безопасном режиме, сделайте логи. Логи : Загрузившись с CD WIN PE Загрузившись нормально Забыл добавить. Находящиеся на жестком NOD, hijackthis и прочие не запускаютса и при загрузке с CD Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 6 декабря, 2009 Жалоба Поделиться Опубликовано 6 декабря, 2009 Вы прикрепили не те логи. Внимательно прочитайте правила. Делать логи из под Win PE бесполезено. Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 6 декабря, 2009 Автор Жалоба Поделиться Опубликовано 6 декабря, 2009 Загрузитсьа в safe mode не могу Скачать hijackthis не могу Переименовать hijackthis не могу Обновить AVZ не могу Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 6 декабря, 2009 Автор Жалоба Поделиться Опубликовано 6 декабря, 2009 Rsit скачал и запустил Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 6 декабря, 2009 Жалоба Поделиться Опубликовано 6 декабря, 2009 (изменено) Здравствуйте. выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\documents and settings\administrator\application data\drivers\winupgro.exe');TerminateProcessByName('c:\documents and settings\administrator\application data\m\flec006.exe');TerminateProcessByName('c:\windows\wintems.exe');QuarantineFile('C:\WINDOWS\Installer\{E32B4F2B-5CED-45F1-8B94-55394553F1F0}\dbibl.chm','');QuarantineFile('C:\NISSAN\CDSET.exe','');QuarantineFile('C:\NISSAN\32copy.exe','');QuarantineFile('c:\0d6597ea5461fe81bbde59a83bf1\wgasetup.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb51.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo51.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv38.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winio40.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg73.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\uti3otqy.sys','');QuarantineFile('C:\WINDOWS\system32\PavSRK.sys','');QuarantineFile('C:\WINDOWS\system32\crypserv.exe','');QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');QuarantineFile('C:\WINDOWS\wintems.exe','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe','');QuarantineFile('c:\documents and settings\administrator\application data\drivers\winupgro.exe','');QuarantineFile('c:\windows\wintems.exe','');QuarantineFile('c:\documents and settings\administrator\application data\m\flec006.exe','');DeleteFile('c:\documents and settings\administrator\application data\m\flec006.exe');DeleteFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe');DeleteFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll');DeleteFile('C:\WINDOWS\wintems.exe');DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');DeleteFile('C:\WINDOWS\system32\PavSRK.sys');DeleteFile('C:\WINDOWS\system32\Drivers\uti3otqy.sys');DeleteFile('c:\0d6597ea5461fe81bbde59a83bf1\wgasetup.exe');DeleteFile('C:\NISSAN\32copy.exe');DeleteFile('C:\NISSAN\CDSET.exe');DeleteFile('C:\WINDOWS\system32\srosa2.sys');DeleteService('sK9Ou0s');DeleteService('Winvb51');DeleteService('Winqv38');DeleteService('Winjo51');DeleteService('Winio40');DeleteService('Winbg73');DeleteService('uti3otqy');DeleteService('PavSRK.sys');BC_ImportAll;ExecuteSysClean;BC_DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');BC_DeleteFile('C:\WINDOWS\system32\PavSRK.sys');BC_DeleteFile('C:\WINDOWS\system32\Drivers\uti3otqy.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winbg73.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winio40.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winjo51.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winqv38.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');BC_Activate;ExecuteRepair(6);ExecuteRepair(19);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файлы карантина отправьте в архиве с паролем virus на myedde <at> operamail.com Повторите логи Изменено 6 декабря, 2009 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 6 декабря, 2009 Автор Жалоба Поделиться Опубликовано 6 декабря, 2009 Отпрвил. Большое спасибо. Но антивирусные программы не запускаются. Так должно быть ? Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 6 декабря, 2009 Жалоба Поделиться Опубликовано 6 декабря, 2009 Карантин пока не приехал попробуйте выложить на файлообменник, программы должны бы запускаться, повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 7 декабря, 2009 Автор Жалоба Поделиться Опубликовано 7 декабря, 2009 Логи сейчас сделаю, но и после выключения и включеня машины я не могу запустить не hijаcktis, не обычный AVZ и так далее. В папке \documents and settings\administratior\application data\ остались папки m\ и drivers\ . В первой из них папка shared\ и фаилы data.oct, list.oct и srvlist.oct, во второй - папка downld\ и в ней фаилы .exe названия которых состоят из шести цифр. Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 7 декабря, 2009 Автор Жалоба Поделиться Опубликовано 7 декабря, 2009 логи Hijackthis не запускается и переименованный. Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 7 декабря, 2009 Автор Жалоба Поделиться Опубликовано 7 декабря, 2009 Скачал заново hijackthis - работает, вот лог Похоже вирус испортил все раннее использованные антивирусные программы - так может быть? Safe mode не работает Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 7 декабря, 2009 Жалоба Поделиться Опубликовано 7 декабря, 2009 (изменено) 1. Скачайте обычный AVZ заново. Запустите, выберите Файл - Восстановление системы, отметьте п. 10, нажмите "Выполнить отмеченные операции". Попробуйте загрузиться в безопасном режиме. 2. Вполне возможно, что червь повредил защитные программы. После окончания лечения переустановите их. Изменено 7 декабря, 2009 пользователем Matias Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 7 декабря, 2009 Автор Жалоба Поделиться Опубликовано 7 декабря, 2009 В логе hijackthis я видел записи, ссылающиеся на фаилы вируса. Их не нужно убрать ? И что делать с папками m\ и drivers\ ? Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 8 декабря, 2009 Жалоба Поделиться Опубликовано 8 декабря, 2009 (изменено) Здравствуйте. Выполните скрипт авз beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('c:\windows\system32\crypserv.exe','');QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg73.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winio40.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo51.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv38.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb51.sys','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe','');QuarantineFile('C:\WINDOWS\regedit','');QuarantineFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009664.exe','');QuarantineFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009663.exe','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll','');QuarantineFile('C:\WINDOWS\mdelk.exe','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\win166.tmp.exe','');QuarantineFile('C:\WINDOWS\WinCtrl32','');QuarantineFile('C:\WINDOWS\WinCtrl32.dll','');QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\~DFA2CE.tmp','');DeleteFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009663.exe');DeleteFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009664.exe');DeleteFile('C:\WINDOWS\regedit');DeleteFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe');DeleteFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe');DeleteFile('C:\WINDOWS\mdelk.exe');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\win166.tmp.exe');DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\~DFA2CE.tmp');DeleteFile('C:\WINDOWS\WinCtrl32');DeleteFile('C:\WINDOWS\WinCtrl32.dll');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winqv38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winjo51.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winio40.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winbg73.sys');DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');DeleteService('srosa');DeleteService('Winbg73');DeleteService('Winio40');DeleteService('Winjo51');DeleteService('Winqv38');DeleteService('Winvb51');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(1);ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(12);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Пофиксите в HJT следующие строчки O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe Nasty (2.26 / 5.00)O4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\Administrator\Application Data\m\flec006.exeO20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\WinCtrl32 Пришлите карантин, прошлый не пришел. Или проверьте сами на http://www.virustotal.com/ru/ и сообщите результат Изменено 8 декабря, 2009 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 8 декабря, 2009 Автор Жалоба Поделиться Опубликовано 8 декабря, 2009 Проверка карантина на вирус тотал : __www.virustotal.com_ru_analisis_084942d82469681c958a796b4.pdf ЛОГ hijackthis (online сканеры я викинул и потом лог пофиксил) hijackthis.log Папки m\ и drivers\ удалять или нет ? __www.virustotal.com_ru_analisis_084942d82469681c958a796b4.pdf hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 8 декабря, 2009 Автор Жалоба Поделиться Опубликовано 8 декабря, 2009 А вот что в этих папках virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 9 декабря, 2009 Жалоба Поделиться Опубликовано 9 декабря, 2009 Здравствуйте, папки можете удалить. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Как самочувствие больного? Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 9 декабря, 2009 Автор Жалоба Поделиться Опубликовано 9 декабря, 2009 Самочуствие больного ближе к хорошо чем плохо. NOD(лицензионный) после переустановки заработал и нашел еще (я не говорю о карантинах, которые я все потом поудалял). Советованный ВАМИ (со всеми большими буквами) Malwarebytes' Anti-Malware я поставлю, но если NOD обноружил и удалил намного больше чем обновленный AVZ, то мое доверие к нему восстонавливается. P.S Эта мразь позакрывала и сервисы - Security service, Automatic updates, и еще что-то. Файрвол Мастдая я так и востановил. Температура процессора на холостом ходу держится около 45-47 и это похоже на хорошо. P.S.S. Сейчас еще одну-другую программу снесу, потом поставллю заново, сделаю дефрагментацию и потом отпишусь (с логами) На сегодня ВСЕМ (со всеми большими буквами) ОГРОМНОЕ СПАСИБО !!! I'll be back ! Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти