Перейти к содержанию

Вирусы жрут ноутбук(


diko

Рекомендуемые сообщения

1. Началось все после перезарузки. Перезагрузка была принудительной. После запуска

пропала мышь. Посмотрел в диспетчере устройств приводы, усб, порты обозначены как неисправные. Удалить/ установить не помогает. Работает тачпад и WIFI (сеть, интернет)

2. Увидел по отсутствии логотипа, что Касперский не загружен. Все попытки запустить касперского, восстановить его через панель администратора заканчиваются провалом. Ошибка "не является приложением win32".

 

3. Начал действовать, согласно рекомендациям на форуме. Результат нулевой

 

Прежде всего - safe mode не входит, вылетает с синим экраном. Восстановление системы включено.

 

Второе. Ничего из антивирусных инструментов не устанавливается или не запускается. CureIt, AVPTool, AVZ (и полиморфный тоже, прибивается как только появляется окно), HijackThis не работают. Переименовка не помогает. В основном повторяется ошибка "не является приложением win32", но иногда дохнет просто без звука или прибивается главное окно чуть показавшись. Поэтому пока даже никаких логов не могу снять.

 

Интересные моменты. Вырубает браузер на ряде сайтов про антивирусы и антивирусные утилиты. Например не дает в гугле поискать слово HijackThis

 

4. В процессах вроде бы ничего подозрительно особого нет. Врубил виндовый брандмауер - вроде бы пашет.

 

5. Загрузился с DRWebовского загрузочного диска. Выполнил проверку всех винтов. Нашел Trojan.Carberp.10, Win32.HLLM.Beagle.677, удалил. Толку нет, все тоже самое, вирусняк остался. Все удалил, перезагрузился - толку нет.

 

AVZ удалось запустить после запуска с загрузочного диска, Log выкладываю...

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

post-23497-1319178968_thumb.jpg

Изменено пользователем diko
Ссылка на комментарий
Поделиться на другие сайты

AVZ удалось запустить после запуска с загрузочного диска, Log выкладываю...

такие логи не подойдут.

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1

 

 

Если Combofix не запустится -

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Если OSAM не запустится -

загрузитесь под любым лайвсиди и переименуйте файл

C:\WINDOWS\system32\srosa2.sys

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Если Combofix не запустится -

combofix не запустился, переименованный тоже...

зато запустился hijackthis (после отключения прог в автозагрузке), лог прикладываю. буду пробовать OSAM

 

удалось запустить avz с ключами AG=Y AM=Y, логи выкладываю..

 

Если Combofix не запустится -

буду пробовать OSAM

 

osram запустить не удалось..

h.txt

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты

diko, здравствуйте. Скрипт выполняем в AVZ так же (с ключами AG=Y AM=Y)

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\rg\application data\drivers\winupgro.exe');
TerminateProcessByName('c:\windows\wintems.exe');
SetServiceStart('wfsintwq', 4);
StopService('wfsintwq');
QuarantineFile('C:\Program Files\Wave Systems Corp\EMBASSY Security Center\WaveSystemsManager.dll','');
QuarantineFile('C:\Program Files\Dell\Dell ControlPoint Security Manager\wave\EMBASSY Security Center\program files\Wave Systems Corp\EMBASSY Security Center\WaveSystemsManager.dll','');
QuarantineFile('c:\documents and settings\rg\application data\drivers\winupgro.exe','');
QuarantineFile('c:\windows\wintems.exe','');
QuarantineFile('C:\WINDOWS\system32\srosa2.sys','');
QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');
DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');
DeleteFile('c:\windows\wintems.exe');
DeleteFile('c:\documents and settings\rg\application data\drivers\winupgro.exe');
DeleteService('wfsintwq');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

Повторяйте логи AVZ и RSIT, если получится сделайте лог OSAM

 

Не забудьте скачать новую версию AVZ и обновить базы.

 

+ Попробуйте сделать лог GMER

 

 

 

Поправила скрипт.

 

 

P.S если во время выполнения скрипта выпадет BSOD, то исключите из скрипта следующие строки:

 

TerminateProcessByName('c:\documents and settings\rg\application data\drivers\winupgro.exe');
TerminateProcessByName('c:\windows\wintems.exe');

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

diko, здравствуйте. Скрипт выполняем в AVZ так же (с ключами AG=Y AM=Y)

 

Не забудьте скачать новую версию AVZ и обновить базы.

скрипты выполнил, запрос отправил. запустить новую версию avz не получается, запускается только старая

переименованная.

Ссылка на комментарий
Поделиться на другие сайты

скрипты выполнил, запрос отправил. запустить новую версию avz не получается, запускается только старая

переименованная.

 

Повторите логи.

 

 

Попробуйте запустить такую AVZ и сделать новые логи с помощью нее. Если не запустится, тогда делайте логи вашей AVZ.

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

Повторите логи.

 

 

Попробуйте запустить такую AVZ и сделать новые логи с помощью нее. Если не запустится, тогда делайте логи вашей AVZ.

доступ разрешен) выкладываю лог предложеного avz & gmer

gmer.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты

Где лог OSAM, который Вас просили сделать дважды уже?

да я бы с удовольствием - OSAM, Combofix, Rsit запустить пока не удалось..(

 

Ответ по проверке:

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

avp.com

 

Вредоносный код в файле не обнаружен.

 

gmer.zip,

WaveSystemsManager.dll,

WaveSystemsManager_0.dll

 

Файлы в процессе обработки.

 

wintems.exe - Email-Worm.Win32.Bagle.of

winupgro.exe - Trojan-Downloader.Win32.Bagle.edw

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами."

Изменено пользователем diko
Ссылка на комментарий
Поделиться на другие сайты

Попробуйте переименовать ComboFix.exe в 123.exe

после переименования прога запустилась появилось следующее сообщение.. как сканер отключить? служба в настройках остановлена, может в диспетчере задачу остановить, но какую

post-23497-1319297353_thumb.jpg

Изменено пользователем diko
Ссылка на комментарий
Поделиться на другие сайты

Если значок антивируса в трее присутствует, правой кнопкой на нем и выбрать - Выход

 

Если значка нет, антивирус временно удалите

Ссылка на комментарий
Поделиться на другие сайты

Если значок антивируса в трее присутствует, правой кнопкой на нем и выбрать - Выход

 

Если значка нет, антивирус временно удалите

удалил антивирус, и чудо появилась мышь и др потерянное оборудование)

выкладываю логи combofix и gmer

ComboFix_log.txt

gmer.log

Изменено пользователем diko
Ссылка на комментарий
Поделиться на другие сайты

c:\windows\system32\bossrosa3.sys - запакуйте с паролем virus, выложите на обменник и пришлите ссылку мне в личные сообщения

 

Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus, выложите на обменник и пришлите ссылку мне в личные сообщения

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.

KillAll::

File::
c:\windows\system32\bossrosa3.sys

Driver::

Folder::

Registry::

FileLook::

DirLook::
c:\documents and settings\RG\Application Data\arjoQ3lUDyvOP9Q
c:\documents and settings\RG\Application Data\xxZI5NRie38Yy1F

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sakuuna
      От sakuuna
      Короче раньше такой ошибки не выходило, но он нагревался и бывало даже перегревался. Сейчас же выдает эту ошибку при запуске и соотвесвтенно быстро наргревается, но зависит от того, как его нагрузить. Ноутбук старенький:

      HP - модель e011sr
      Процессор    AMD A8-4500M APU with Radeon(tm) HD Graphics      1.90 GHz
      Оперативная память    6,00 ГБ (доступно: 5,19 ГБ)
      Тип системы    64-разрядная операционная система, процессор x64
      Видеоадаптеры: AMD Radeon HD 7640G и HD 8670M

       Скачал lObit ACS PRO MonitorPort: Там тип показывает, скорость вентилятор 2700RPM, но бывало и 1700RPM при такой же нагржуенности ноутбука, CPU, GPU, и материнка, соответвенно когда играл в слабую игру такую, как гта са у меня значения в градусах поднимались до 80 и больше градусов, При 1900RPM(оборотов в минуту, если я не ошибаюсь). Соответсвенно хочу узнать в чем проблема. И если надо что-то проверить, говорите
       
    • civiero
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
×
×
  • Создать...