diko 0 Опубликовано 21 октября, 2011 Share Опубликовано 21 октября, 2011 (изменено) 1. Началось все после перезарузки. Перезагрузка была принудительной. После запуска пропала мышь. Посмотрел в диспетчере устройств приводы, усб, порты обозначены как неисправные. Удалить/ установить не помогает. Работает тачпад и WIFI (сеть, интернет) 2. Увидел по отсутствии логотипа, что Касперский не загружен. Все попытки запустить касперского, восстановить его через панель администратора заканчиваются провалом. Ошибка "не является приложением win32". 3. Начал действовать, согласно рекомендациям на форуме. Результат нулевой Прежде всего - safe mode не входит, вылетает с синим экраном. Восстановление системы включено. Второе. Ничего из антивирусных инструментов не устанавливается или не запускается. CureIt, AVPTool, AVZ (и полиморфный тоже, прибивается как только появляется окно), HijackThis не работают. Переименовка не помогает. В основном повторяется ошибка "не является приложением win32", но иногда дохнет просто без звука или прибивается главное окно чуть показавшись. Поэтому пока даже никаких логов не могу снять. Интересные моменты. Вырубает браузер на ряде сайтов про антивирусы и антивирусные утилиты. Например не дает в гугле поискать слово HijackThis 4. В процессах вроде бы ничего подозрительно особого нет. Врубил виндовый брандмауер - вроде бы пашет. 5. Загрузился с DRWebовского загрузочного диска. Выполнил проверку всех винтов. Нашел Trojan.Carberp.10, Win32.HLLM.Beagle.677, удалил. Толку нет, все тоже самое, вирусняк остался. Все удалил, перезагрузился - толку нет. AVZ удалось запустить после запуска с загрузочного диска, Log выкладываю... info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 21 октября, 2011 пользователем diko Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 21 октября, 2011 Share Опубликовано 21 октября, 2011 (изменено) AVZ удалось запустить после запуска с загрузочного диска, Log выкладываю... такие логи не подойдут. Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1 Если Combofix не запустится - скачайте OSAM установите. запустите. дождитесь окончания сканирования. вверху слева нажмите Save Log полученный лог osam.html прикрепите к новому сообщению. Если OSAM не запустится - загрузитесь под любым лайвсиди и переименуйте файл C:\WINDOWS\system32\srosa2.sys Изменено 21 октября, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
diko 0 Опубликовано 22 октября, 2011 Автор Share Опубликовано 22 октября, 2011 Если Combofix не запустится - combofix не запустился, переименованный тоже... зато запустился hijackthis (после отключения прог в автозагрузке), лог прикладываю. буду пробовать OSAM удалось запустить avz с ключами AG=Y AM=Y, логи выкладываю.. Если Combofix не запустится - буду пробовать OSAM osram запустить не удалось.. h.txt hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 22 октября, 2011 Share Опубликовано 22 октября, 2011 (изменено) diko, здравствуйте. Скрипт выполняем в AVZ так же (с ключами AG=Y AM=Y) Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; TerminateProcessByName('c:\documents and settings\rg\application data\drivers\winupgro.exe'); TerminateProcessByName('c:\windows\wintems.exe'); SetServiceStart('wfsintwq', 4); StopService('wfsintwq'); QuarantineFile('C:\Program Files\Wave Systems Corp\EMBASSY Security Center\WaveSystemsManager.dll',''); QuarantineFile('C:\Program Files\Dell\Dell ControlPoint Security Manager\wave\EMBASSY Security Center\program files\Wave Systems Corp\EMBASSY Security Center\WaveSystemsManager.dll',''); QuarantineFile('c:\documents and settings\rg\application data\drivers\winupgro.exe',''); QuarantineFile('c:\windows\wintems.exe',''); QuarantineFile('C:\WINDOWS\system32\srosa2.sys',''); QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys',''); DeleteFile('C:\WINDOWS\system32\wfsintwq.sys'); DeleteFile('c:\windows\wintems.exe'); DeleteFile('c:\documents and settings\rg\application data\drivers\winupgro.exe'); DeleteService('wfsintwq'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Повторяйте логи AVZ и RSIT, если получится сделайте лог OSAM Не забудьте скачать новую версию AVZ и обновить базы. + Попробуйте сделать лог GMER Поправила скрипт. P.S если во время выполнения скрипта выпадет BSOD, то исключите из скрипта следующие строки: TerminateProcessByName('c:\documents and settings\rg\application data\drivers\winupgro.exe'); TerminateProcessByName('c:\windows\wintems.exe'); Изменено 22 октября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
diko 0 Опубликовано 22 октября, 2011 Автор Share Опубликовано 22 октября, 2011 diko, здравствуйте. Скрипт выполняем в AVZ так же (с ключами AG=Y AM=Y) Не забудьте скачать новую версию AVZ и обновить базы. скрипты выполнил, запрос отправил. запустить новую версию avz не получается, запускается только старая переименованная. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 22 октября, 2011 Share Опубликовано 22 октября, 2011 (изменено) скрипты выполнил, запрос отправил. запустить новую версию avz не получается, запускается только старая переименованная. Повторите логи. Попробуйте запустить такую AVZ и сделать новые логи с помощью нее. Если не запустится, тогда делайте логи вашей AVZ. Изменено 22 октября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
diko 0 Опубликовано 22 октября, 2011 Автор Share Опубликовано 22 октября, 2011 Повторите логи. Попробуйте запустить такую AVZ и сделать новые логи с помощью нее. Если не запустится, тогда делайте логи вашей AVZ. доступ разрешен) выкладываю лог предложеного avz & gmer gmer.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 октября, 2011 Share Опубликовано 22 октября, 2011 Где лог OSAM, который Вас просили сделать дважды уже? Цитата Ссылка на сообщение Поделиться на другие сайты
diko 0 Опубликовано 22 октября, 2011 Автор Share Опубликовано 22 октября, 2011 (изменено) Где лог OSAM, который Вас просили сделать дважды уже? да я бы с удовольствием - OSAM, Combofix, Rsit запустить пока не удалось..( Ответ по проверке: "Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. avp.com Вредоносный код в файле не обнаружен. gmer.zip, WaveSystemsManager.dll, WaveSystemsManager_0.dll Файлы в процессе обработки. wintems.exe - Email-Worm.Win32.Bagle.of winupgro.exe - Trojan-Downloader.Win32.Bagle.edw В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами." Изменено 22 октября, 2011 пользователем diko Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 октября, 2011 Share Опубликовано 22 октября, 2011 Попробуйте переименовать ComboFix.exe в 123.exe Цитата Ссылка на сообщение Поделиться на другие сайты
diko 0 Опубликовано 22 октября, 2011 Автор Share Опубликовано 22 октября, 2011 (изменено) Попробуйте переименовать ComboFix.exe в 123.exe после переименования прога запустилась появилось следующее сообщение.. как сканер отключить? служба в настройках остановлена, может в диспетчере задачу остановить, но какую Изменено 22 октября, 2011 пользователем diko Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 октября, 2011 Share Опубликовано 22 октября, 2011 Если значок антивируса в трее присутствует, правой кнопкой на нем и выбрать - Выход Если значка нет, антивирус временно удалите Цитата Ссылка на сообщение Поделиться на другие сайты
diko 0 Опубликовано 22 октября, 2011 Автор Share Опубликовано 22 октября, 2011 (изменено) Если значок антивируса в трее присутствует, правой кнопкой на нем и выбрать - Выход Если значка нет, антивирус временно удалите удалил антивирус, и чудо появилась мышь и др потерянное оборудование) выкладываю логи combofix и gmer ComboFix_log.txt gmer.log Изменено 22 октября, 2011 пользователем diko Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 октября, 2011 Share Опубликовано 22 октября, 2011 c:\windows\system32\bossrosa3.sys - запакуйте с паролем virus, выложите на обменник и пришлите ссылку мне в личные сообщения Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus, выложите на обменник и пришлите ссылку мне в личные сообщения Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С. KillAll:: File:: c:\windows\system32\bossrosa3.sys Driver:: Folder:: Registry:: FileLook:: DirLook:: c:\documents and settings\RG\Application Data\arjoQ3lUDyvOP9Q c:\documents and settings\RG\Application Data\xxZI5NRie38Yy1F После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 22 октября, 2011 Share Опубликовано 22 октября, 2011 + удалите вручную папку c:\documents and settings\RG\Application Data\drivers Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.