Kupuk Опубликовано 24 мая, 2009 Поделиться Опубликовано 24 мая, 2009 Такае же проблема, при запуски винды выдает тоже сообщение Проблема с NT AUTHORITY /SYSTEM вызванное services.exe. Идет перезагрузка. Сижу в безопасном режиме. до этого постоянно вылетал rootkit в smss.exe, вирус Trojan-Downloader.Win32.Agent.bruy. Один раз завис и стали вылетать ошибки в svchost.exe. Сделал ресет и появилось это сообщение. Загрузился в безопасный режим, попытк запустить касперский или авз не дала результатов. Пришлось переменовывать файлы exe на другие. Прошел проверку Касперского на критические области, удалил такие вирусы : Email-Worm.Win32.Joleee.dv, Hoax.Win32.Renos.esb, not-a-virus:FraudTool.Win32.XPSecurityCEnter.ba,Backdoor.Win32.Small.gjm,Backdoor.Win3 2.agent.zwh,rootkit.win32.tdss.dbg, rootkit.win32.tdss.ffn,trojan-downloader.win32.agent.bbef,trojan-downloader.win32.agent.bcjf, trojan-downloader.win32.agent.bdqs , trojan-downloader.win32.boltolog.dnp , Trojan.Win32.Inject.mxn; Обновить антивирусную базу не могу. Скрипты которые дали не помогли. Помогите плиз Сообщение от модератора Falcon Выделил в отдельную тему. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 24 мая, 2009 Поделиться Опубликовано 24 мая, 2009 Подготовьте логи. Тогда напишем скрипты для Вас, которые должны помочь. Ссылка на комментарий Поделиться на другие сайты Поделиться
Kupuk Опубликовано 24 мая, 2009 Автор Поделиться Опубликовано 24 мая, 2009 Подготовьте логи. Тогда напишем скрипты для Вас, которые должны помочь. Логи сделаны в безопасном режиме, т.к войти в обычный режим не могу, ибо перегрузка происходит вот логи hijackthis.log virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 24 мая, 2009 Поделиться Опубликовано 24 мая, 2009 !Отключите восстановление системы! Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearHostsFile; TerminateProcessByName('c:\windows\system32\drivers\ntndis.exe'); QuarantineFile('c:\docume~1\a72d~1.kup\locals~1\temp\init.exe',''); QuarantineFile('C:\Documents and Settings\Кирик.KUPUK\Кирик.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\vvftav.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpw53.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winls18.sys',''); DeleteService('Winpw53'); DeleteService('Winls18'); DeleteService('siusbmod'); DeleteService('SenFiltService'); DeleteService('securentm'); DeleteService('ws2_32sik'); DeleteService('amd64si'); DeleteService('AMDPCI'); QuarantineFile('C:\WINDOWS\system32\Drivers\stremu.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\slabser.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\siusbmod.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Senfilt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); QuarantineFile('C:\DOCUME~1\A72D~1.KUP\LOCALS~1\Temp\AMDPCI.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys'); DeleteFile('C:\DOCUME~1\A72D~1.KUP\LOCALS~1\Temp\AMDPCI.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Senfilt.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\siusbmod.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winls18.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpw53.sys'); DeleteFile('C:\WINDOWS\system32\digeste.dll'); DeleteFile('c:\docume~1\a72d~1.kup\locals~1\temp\init.exe'); BC_ImportAll; BC_DeleteSvc('ws2_32sik'); BC_DeleteSvc('AMDPCI'); BC_DeleteSvc('amd64si'); BC_DeleteSvc('securentm'); BC_DeleteSvc('siusbmod'); BC_DeleteSvc('SenFiltService'); BC_DeleteSvc('Winpw53'); BC_DeleteSvc('Winls18'); ExecuteRepair(6); ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите. Пофиксите: R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file) R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ Ждем новые логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Kupuk Опубликовано 24 мая, 2009 Автор Поделиться Опубликовано 24 мая, 2009 Письмо отослал, профиксировал все кроме F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe его не было. Попрежнему нахожусь в БР (еще не заходил). Вот логи hijackthis.log virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 24 мая, 2009 Поделиться Опубликовано 24 мая, 2009 Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('stremu'); DeleteService('slabser'); DeleteService('srescan'); DeleteFile('C:\WINDOWS\system32\DRIVERS\slabser.sys'); DeleteFile('C:\WINDOWS\system32\ZoneLabs\srescan.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\stremu.sys'); DeleteFile('C:\Documents and Settings\Кирик.KUPUK\Кирик.exe'); DeleteFile('digeste.dll'); DeleteFile('C:\WINDOWS\system32\digeste.dll'); BC_ImportDeletedList; BC_DeleteSvc('srescan'); BC_DeleteSvc('stremu'); BC_DeleteSvc('srescan'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Пофиксите: O4 - HKCU\..\Run: [Кирик] C:\Documents and Settings\Кирик.KUPUK\Кирик.exe /i Выполните в AVZ: begin SetAVZPMStatus(true); RebootWindows(true); end. Прикрепите 2 лога AVZ и лог HJT. Ссылка на комментарий Поделиться на другие сайты Поделиться
Kupuk Опубликовано 24 мая, 2009 Автор Поделиться Опубликовано 24 мая, 2009 (изменено) Новые логи, попытаюсь зайти в обычный режим. Ошибка не вылетает. Я не могу по прежнему запусить касперский и авп со старым именем Вот новые логи сделанные в обычном режиме. Спасибо, жду дальших наставлений hijackthis.log virusinfo_syscheck.zip Изменено 25 мая, 2009 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 25 мая, 2009 Поделиться Опубликовано 25 мая, 2009 Обновите базы AVZ и переделайте логи (их должно быть 3). Ссылка на комментарий Поделиться на другие сайты Поделиться
Kupuk Опубликовано 25 мая, 2009 Автор Поделиться Опубликовано 25 мая, 2009 (изменено) Вот логи. После проверки АВЗ и перезагрузкой компьютера, каспер обнаружил новый вирус backdoor.win32.agent.tzl virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 25 мая, 2009 пользователем Kupuk Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 25 мая, 2009 Поделиться Опубликовано 25 мая, 2009 C:\tuktuk.com Это вам знакомо? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 25 мая, 2009 Поделиться Опубликовано 25 мая, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\AcSignExtResc.exe',''); DeleteFile('C:\WINDOWS\system32\AcSignExtResc.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделать новые логи Ссылка на комментарий Поделиться на другие сайты Поделиться
Kupuk Опубликовано 25 мая, 2009 Автор Поделиться Опубликовано 25 мая, 2009 (изменено) C:\tuktuk.com Это вам знакомо? Знакомо, этот файл я скачивал по какой-то ссылки данной на этом форуме, это какой-то авз бета или альфа версии. Сегдня пришел винда перестала нормально загружатся в обычном режиме, точнее вообще перестала. Она не зависает, но ничего не делает, не загружает ни одуну программу(даже хард не вращается). Просто рабочий экран. Делаю скрипт в БС. И еще при сканирование диска C с помощью avz вылетала несколько раз восстановление файлов системы, для чего нужен диск с видной. Иначе замене на неизвестные. Нахожусь в БС делаю новые логи Не все-таки винда чудом загрузилась и вот новые логи с нормального режима Не смог отправить карантин на почту, говорит много весит hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip Изменено 25 мая, 2009 пользователем Kupuk Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 25 мая, 2009 Поделиться Опубликовано 25 мая, 2009 Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\System32\drivers\d213ed03.sys',''); DeleteService('d213ed03'); DeleteFile('C:\WINDOWS\System32\drivers\d213ed03.sys'); BC_ImportDeletedList; BC_DeleteSvc('d213ed03'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. 1) Скачайте Vba32 AntiRootkit отсюда или отсюда. Распакуйте и запустите программу (файл Vba32arkit.exe); 2) Уберите галочку с Use AntiVirus Kernel: 3) Далее File -> Logging State и нажмите Start; Сохраните лог (файл Vba32arkitLog) и прикрепите его к сообщению. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
Kupuk Опубликовано 25 мая, 2009 Автор Поделиться Опубликовано 25 мая, 2009 Все сделал, вроде вирус удален, тока вылетает ошибка не может найти библиотеку grddrv32.dll, также включилась оповещение безопасности windows. Вот нужные логи Vba32ArkitLog.html mbam_log_2009_05_26__00_23_32_.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 26 мая, 2009 Поделиться Опубликовано 26 мая, 2009 вылетает ошибка не может найти библиотеку grddrv32.dll Это от Guardant driver management, переустановите программу. C:\WINDOWS\System32\drivers\f6e0bd2e.sys - поищите при помощи IceSword (menu -> file) и проверьте на Virustotal.com. включилась оповещение безопасности windows Оповещения можно отключить: 1) Пуск - Настройка - Панель управления - Центр обеспечения безопасности 2) В меню слева выбрать "Изменить способ оповещений..." Убрать все галки. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти