Вирусы жрут ноутбук(

[diko 0]

1. Началось все после перезарузки. Перезагрузка была принудительной. После запуска

пропала мышь. Посмотрел в диспетчере устройств приводы, усб, порты обозначены как неисправные. Удалить/ установить не помогает. Работает тачпад и WIFI (сеть, интернет)

2. Увидел по отсутствии логотипа, что Касперский не загружен. Все попытки запустить касперского, восстановить его через панель администратора заканчиваются провалом. Ошибка "не является приложением win32".

 

3. Начал действовать, согласно рекомендациям на форуме. Результат нулевой

 

Прежде всего - safe mode не входит, вылетает с синим экраном. Восстановление системы включено.

 

Второе. Ничего из антивирусных инструментов не устанавливается или не запускается. CureIt, AVPTool, AVZ (и полиморфный тоже, прибивается как только появляется окно), HijackThis не работают. Переименовка не помогает. В основном повторяется ошибка "не является приложением win32", но иногда дохнет просто без звука или прибивается главное окно чуть показавшись. Поэтому пока даже никаких логов не могу снять.

 

Интересные моменты. Вырубает браузер на ряде сайтов про антивирусы и антивирусные утилиты. Например не дает в гугле поискать слово HijackThis

 

4. В процессах вроде бы ничего подозрительно особого нет. Врубил виндовый брандмауер - вроде бы пашет.

 

5. Загрузился с DRWebовского загрузочного диска. Выполнил проверку всех винтов. Нашел Trojan.Carberp.10, Win32.HLLM.Beagle.677, удалил. Толку нет, все тоже самое, вирусняк остался. Все удалил, перезагрузился - толку нет.

 

AVZ удалось запустить после запуска с загрузочного диска, Log выкладываю...

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 21 октября, 2011 пользователем diko

[Roman_Five 489]

AVZ удалось запустить после запуска с загрузочного диска, Log выкладываю...

такие логи не подойдут.

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1

 

 

Если Combofix не запустится -

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Если OSAM не запустится -

загрузитесь под любым лайвсиди и переименуйте файл

C:\WINDOWS\system32\srosa2.sys

Изменено 21 октября, 2011 пользователем Roman_Five

[diko 0]

Если Combofix не запустится -

combofix не запустился, переименованный тоже...

зато запустился hijackthis (после отключения прог в автозагрузке), лог прикладываю. буду пробовать OSAM

 

удалось запустить avz с ключами AG=Y AM=Y, логи выкладываю..

 

Если Combofix не запустится -

буду пробовать OSAM

 

osram запустить не удалось..

h.txt

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Tiare 107]

diko, здравствуйте. Скрипт выполняем в AVZ так же (с ключами AG=Y AM=Y)

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\rg\application data\drivers\winupgro.exe');
TerminateProcessByName('c:\windows\wintems.exe');
SetServiceStart('wfsintwq', 4);
StopService('wfsintwq');
QuarantineFile('C:\Program Files\Wave Systems Corp\EMBASSY Security Center\WaveSystemsManager.dll','');
QuarantineFile('C:\Program Files\Dell\Dell ControlPoint Security Manager\wave\EMBASSY Security Center\program files\Wave Systems Corp\EMBASSY Security Center\WaveSystemsManager.dll','');
QuarantineFile('c:\documents and settings\rg\application data\drivers\winupgro.exe','');
QuarantineFile('c:\windows\wintems.exe','');
QuarantineFile('C:\WINDOWS\system32\srosa2.sys','');
QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');
DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');
DeleteFile('c:\windows\wintems.exe');
DeleteFile('c:\documents and settings\rg\application data\drivers\winupgro.exe');
DeleteService('wfsintwq');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

Повторяйте логи AVZ и RSIT, если получится сделайте лог OSAM

 

Не забудьте скачать новую версию AVZ и обновить базы.

 

+ Попробуйте сделать лог GMER

 

 

 

Поправила скрипт.

 

 

P.S если во время выполнения скрипта выпадет BSOD, то исключите из скрипта следующие строки:

 

TerminateProcessByName('c:\documents and settings\rg\application data\drivers\winupgro.exe');
TerminateProcessByName('c:\windows\wintems.exe');

Изменено 22 октября, 2011 пользователем Tiare

[diko 0]

diko, здравствуйте. Скрипт выполняем в AVZ так же (с ключами AG=Y AM=Y)

 

Не забудьте скачать новую версию AVZ и обновить базы.

скрипты выполнил, запрос отправил. запустить новую версию avz не получается, запускается только старая

переименованная.

[Tiare 107]

скрипты выполнил, запрос отправил. запустить новую версию avz не получается, запускается только старая

переименованная.

 

Повторите логи.

 

 

Попробуйте запустить такую AVZ и сделать новые логи с помощью нее. Если не запустится, тогда делайте логи вашей AVZ.

Изменено 22 октября, 2011 пользователем Tiare

[diko 0]

Повторите логи.

 

 

Попробуйте запустить такую AVZ и сделать новые логи с помощью нее. Если не запустится, тогда делайте логи вашей AVZ.

доступ разрешен) выкладываю лог предложеного avz & gmer

gmer.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[thyrex 1 422]

Где лог OSAM, который Вас просили сделать дважды уже?

[diko 0]

Где лог OSAM, который Вас просили сделать дважды уже?

да я бы с удовольствием - OSAM, Combofix, Rsit запустить пока не удалось..(

 

Ответ по проверке:

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

avp.com

 

Вредоносный код в файле не обнаружен.

 

gmer.zip,

WaveSystemsManager.dll,

WaveSystemsManager_0.dll

 

Файлы в процессе обработки.

 

wintems.exe - Email-Worm.Win32.Bagle.of

winupgro.exe - Trojan-Downloader.Win32.Bagle.edw

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами."

Изменено 22 октября, 2011 пользователем diko

[thyrex 1 422]

Попробуйте переименовать ComboFix.exe в 123.exe

[diko 0]

Попробуйте переименовать ComboFix.exe в 123.exe

после переименования прога запустилась появилось следующее сообщение.. как сканер отключить? служба в настройках остановлена, может в диспетчере задачу остановить, но какую

Изменено 22 октября, 2011 пользователем diko

[thyrex 1 422]

Если значок антивируса в трее присутствует, правой кнопкой на нем и выбрать - Выход

 

Если значка нет, антивирус временно удалите

[diko 0]

Если значок антивируса в трее присутствует, правой кнопкой на нем и выбрать - Выход

 

Если значка нет, антивирус временно удалите

удалил антивирус, и чудо появилась мышь и др потерянное оборудование)

выкладываю логи combofix и gmer

ComboFix_log.txt

gmer.log

Изменено 22 октября, 2011 пользователем diko

[thyrex 1 422]

c:\windows\system32\bossrosa3.sys - запакуйте с паролем virus, выложите на обменник и пришлите ссылку мне в личные сообщения

 

Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus, выложите на обменник и пришлите ссылку мне в личные сообщения

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.

KillAll::

File::
c:\windows\system32\bossrosa3.sys

Driver::

Folder::

Registry::

FileLook::

DirLook::
c:\documents and settings\RG\Application Data\arjoQ3lUDyvOP9Q
c:\documents and settings\RG\Application Data\xxZI5NRie38Yy1F

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Tiare 107]

+ удалите вручную папку c:\documents and settings\RG\Application Data\drivers