egils Опубликовано 6 декабря, 2009 Жалоба Поделиться Опубликовано 6 декабря, 2009 Прошу о помощи. Не запускаетса ни NOD, ни hijackthis, ни AVG, ни AVZ. Просканировал последним cureit загрузившись с CD WIN PE, он нашел WIN32.HLLM.Beagle, удалил, но проблема осталась, кто му же работа системы мне не нравится. Помогите ! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 6 декабря, 2009 Жалоба Поделиться Опубликовано 6 декабря, 2009 Скачайте полиморфный авз http://files.myopera.com/myedde/AV/game.zip попробуйте загрузиться в безопасном режиме, сделайте логи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 6 декабря, 2009 Автор Жалоба Поделиться Опубликовано 6 декабря, 2009 Скачайте полиморфный авз http://files.myopera.com/myedde/AV/game.zip попробуйте загрузиться в безопасном режиме, сделайте логи. Логи : Загрузившись с CD WIN PE Загрузившись нормально Забыл добавить. Находящиеся на жестком NOD, hijackthis и прочие не запускаютса и при загрузке с CD Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 6 декабря, 2009 Жалоба Поделиться Опубликовано 6 декабря, 2009 Вы прикрепили не те логи. Внимательно прочитайте правила. Делать логи из под Win PE бесполезено. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 6 декабря, 2009 Автор Жалоба Поделиться Опубликовано 6 декабря, 2009 Загрузитсьа в safe mode не могу Скачать hijackthis не могу Переименовать hijackthis не могу Обновить AVZ не могу Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 6 декабря, 2009 Автор Жалоба Поделиться Опубликовано 6 декабря, 2009 Rsit скачал и запустил Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 6 декабря, 2009 Жалоба Поделиться Опубликовано 6 декабря, 2009 (изменено) Здравствуйте. выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\documents and settings\administrator\application data\drivers\winupgro.exe');TerminateProcessByName('c:\documents and settings\administrator\application data\m\flec006.exe');TerminateProcessByName('c:\windows\wintems.exe');QuarantineFile('C:\WINDOWS\Installer\{E32B4F2B-5CED-45F1-8B94-55394553F1F0}\dbibl.chm','');QuarantineFile('C:\NISSAN\CDSET.exe','');QuarantineFile('C:\NISSAN\32copy.exe','');QuarantineFile('c:\0d6597ea5461fe81bbde59a83bf1\wgasetup.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb51.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo51.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv38.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winio40.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg73.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\uti3otqy.sys','');QuarantineFile('C:\WINDOWS\system32\PavSRK.sys','');QuarantineFile('C:\WINDOWS\system32\crypserv.exe','');QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');QuarantineFile('C:\WINDOWS\wintems.exe','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe','');QuarantineFile('c:\documents and settings\administrator\application data\drivers\winupgro.exe','');QuarantineFile('c:\windows\wintems.exe','');QuarantineFile('c:\documents and settings\administrator\application data\m\flec006.exe','');DeleteFile('c:\documents and settings\administrator\application data\m\flec006.exe');DeleteFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe');DeleteFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll');DeleteFile('C:\WINDOWS\wintems.exe');DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');DeleteFile('C:\WINDOWS\system32\PavSRK.sys');DeleteFile('C:\WINDOWS\system32\Drivers\uti3otqy.sys');DeleteFile('c:\0d6597ea5461fe81bbde59a83bf1\wgasetup.exe');DeleteFile('C:\NISSAN\32copy.exe');DeleteFile('C:\NISSAN\CDSET.exe');DeleteFile('C:\WINDOWS\system32\srosa2.sys');DeleteService('sK9Ou0s');DeleteService('Winvb51');DeleteService('Winqv38');DeleteService('Winjo51');DeleteService('Winio40');DeleteService('Winbg73');DeleteService('uti3otqy');DeleteService('PavSRK.sys');BC_ImportAll;ExecuteSysClean;BC_DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');BC_DeleteFile('C:\WINDOWS\system32\PavSRK.sys');BC_DeleteFile('C:\WINDOWS\system32\Drivers\uti3otqy.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winbg73.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winio40.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winjo51.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winqv38.sys');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');BC_Activate;ExecuteRepair(6);ExecuteRepair(19);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файлы карантина отправьте в архиве с паролем virus на myedde <at> operamail.com Повторите логи Изменено 6 декабря, 2009 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 6 декабря, 2009 Автор Жалоба Поделиться Опубликовано 6 декабря, 2009 Отпрвил. Большое спасибо. Но антивирусные программы не запускаются. Так должно быть ? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 6 декабря, 2009 Жалоба Поделиться Опубликовано 6 декабря, 2009 Карантин пока не приехал попробуйте выложить на файлообменник, программы должны бы запускаться, повторите логи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 7 декабря, 2009 Автор Жалоба Поделиться Опубликовано 7 декабря, 2009 Логи сейчас сделаю, но и после выключения и включеня машины я не могу запустить не hijаcktis, не обычный AVZ и так далее. В папке \documents and settings\administratior\application data\ остались папки m\ и drivers\ . В первой из них папка shared\ и фаилы data.oct, list.oct и srvlist.oct, во второй - папка downld\ и в ней фаилы .exe названия которых состоят из шести цифр. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 7 декабря, 2009 Автор Жалоба Поделиться Опубликовано 7 декабря, 2009 логи Hijackthis не запускается и переименованный. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 7 декабря, 2009 Автор Жалоба Поделиться Опубликовано 7 декабря, 2009 Скачал заново hijackthis - работает, вот лог Похоже вирус испортил все раннее использованные антивирусные программы - так может быть? Safe mode не работает Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 7 декабря, 2009 Жалоба Поделиться Опубликовано 7 декабря, 2009 (изменено) 1. Скачайте обычный AVZ заново. Запустите, выберите Файл - Восстановление системы, отметьте п. 10, нажмите "Выполнить отмеченные операции". Попробуйте загрузиться в безопасном режиме. 2. Вполне возможно, что червь повредил защитные программы. После окончания лечения переустановите их. Изменено 7 декабря, 2009 пользователем Matias Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 7 декабря, 2009 Автор Жалоба Поделиться Опубликовано 7 декабря, 2009 В логе hijackthis я видел записи, ссылающиеся на фаилы вируса. Их не нужно убрать ? И что делать с папками m\ и drivers\ ? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 8 декабря, 2009 Жалоба Поделиться Опубликовано 8 декабря, 2009 (изменено) Здравствуйте. Выполните скрипт авз beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('c:\windows\system32\crypserv.exe','');QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg73.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winio40.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo51.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv38.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb51.sys','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe','');QuarantineFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe','');QuarantineFile('C:\WINDOWS\regedit','');QuarantineFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009664.exe','');QuarantineFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009663.exe','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll','');QuarantineFile('C:\WINDOWS\mdelk.exe','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\win166.tmp.exe','');QuarantineFile('C:\WINDOWS\WinCtrl32','');QuarantineFile('C:\WINDOWS\WinCtrl32.dll','');QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\~DFA2CE.tmp','');DeleteFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009663.exe');DeleteFile('C:\System Volume Information\_restore{F5C4CF4C-1B89-4C86-A85C-F1BFFEFEE10A}\RP12\A0009664.exe');DeleteFile('C:\WINDOWS\regedit');DeleteFile('C:\Documents and Settings\Administrator\Application Data\m\flec006.exe');DeleteFile('C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe');DeleteFile('C:\WINDOWS\mdelk.exe');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\win166.tmp.exe');DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\~DFA2CE.tmp');DeleteFile('C:\WINDOWS\WinCtrl32');DeleteFile('C:\WINDOWS\WinCtrl32.dll');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winqv38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winjo51.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winio40.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winbg73.sys');DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');DeleteService('srosa');DeleteService('Winbg73');DeleteService('Winio40');DeleteService('Winjo51');DeleteService('Winqv38');DeleteService('Winvb51');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(1);ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(12);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Пофиксите в HJT следующие строчки O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe Nasty (2.26 / 5.00)O4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\Administrator\Application Data\m\flec006.exeO20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\WinCtrl32 Пришлите карантин, прошлый не пришел. Или проверьте сами на http://www.virustotal.com/ru/ и сообщите результат Изменено 8 декабря, 2009 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 8 декабря, 2009 Автор Жалоба Поделиться Опубликовано 8 декабря, 2009 Проверка карантина на вирус тотал : __www.virustotal.com_ru_analisis_084942d82469681c958a796b4.pdf ЛОГ hijackthis (online сканеры я викинул и потом лог пофиксил) hijackthis.log Папки m\ и drivers\ удалять или нет ? __www.virustotal.com_ru_analisis_084942d82469681c958a796b4.pdf hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 8 декабря, 2009 Автор Жалоба Поделиться Опубликовано 8 декабря, 2009 А вот что в этих папках virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 9 декабря, 2009 Жалоба Поделиться Опубликовано 9 декабря, 2009 Здравствуйте, папки можете удалить. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Как самочувствие больного? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 9 декабря, 2009 Автор Жалоба Поделиться Опубликовано 9 декабря, 2009 Самочуствие больного ближе к хорошо чем плохо. NOD(лицензионный) после переустановки заработал и нашел еще (я не говорю о карантинах, которые я все потом поудалял). Советованный ВАМИ (со всеми большими буквами) Malwarebytes' Anti-Malware я поставлю, но если NOD обноружил и удалил намного больше чем обновленный AVZ, то мое доверие к нему восстонавливается. P.S Эта мразь позакрывала и сервисы - Security service, Automatic updates, и еще что-то. Файрвол Мастдая я так и востановил. Температура процессора на холостом ходу держится около 45-47 и это похоже на хорошо. P.S.S. Сейчас еще одну-другую программу снесу, потом поставллю заново, сделаю дефрагментацию и потом отпишусь (с логами) На сегодня ВСЕМ (со всеми большими буквами) ОГРОМНОЕ СПАСИБО !!! I'll be back ! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.