|
|
Нестабильная работа когмпьютера
Вложений: 1
Здравствуйте. Появились следующие неполадки с компом букально через день после того как я устранил предыдущую проблему (цитата)
Цитата:
Столкнулся со след. проблемой: на флэшке поселился вирус autorun.inf. Avast антивирус его распознает как "VBS:Malware-gen". Раньше с подобного типа вирусами я сталкивался, но до этого мне помогали утилита Anti-autorun и несколько .reg файлов. А сейчас особенность вируса в том, что каждый раз при его удалении, чем бы то ни было, он создается снова буквально через 10-15 секунд после предыдущего удаления. Также сей вирус создает на флэшке папку RECYCLER с содержимым моей корзины, и стоит заметить, что при удалении этой папки обнаруживается файл autorunme.exe. Поиск файлов autorun.* на компьютере также не дал результатов. Возможно вы посоветуете мне, куда копать, и что сделать? Заранее благодарен.
P.S. Ниже представляю ссылку на архив с .reg файлами, которые я ранее применял.
http://dump.ru/file_catalog/1017274
|
Сейчас предыдущая проблема решена, но теперь с компьютером происходит следующее: 1) не запускается в безопасном режиме; 2) не запускается восстановление системы; 3) компьютер виснет при нажатии "Завершить процесс" в taskmgr.
|
Извиняюсь за немного неверное название темы...
|
yurfed |
25-08-2008 16:56 883381 |
AliVe, пофикси в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{77514486-9A48-4383-9513-BC2F94A4AE8E}: NameServer = 10.0.0.2
Цитата:
Проверьте вашу папку SYSTEM32 на наличие в ней ntos.exe и/или userinit.exe файлов. Если таковые есть тоже не паникуйте а выполните следующие действия, предлагаемые на сайте SecurityLab:
Путем добавления любого символа в конец имени вредоносного модуля изменить значение ключа системного реестра (Пуск/Выполнить/regedit). Например:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
Перезагрузить компьютер.
Вручную удалить следующий файл из системного каталога Windows: ntos.exe
|
По логам AVZ тоже очень много нехорошего. Сам я в скрипты AVZ не вникал, но думаю ребята (Severny или Pili) помогут.
|
yurfed, Что ж, спасибо Вам за совет, будем ждать советов других. Файла ntos.exe не обнаружено. Программа UnhackMe вроде-бы обнаружила руткиты в системе. Пока что ничего не трогаю.
Цитата:
Цитата yurfed
O17 - HKLM\System\CCS\Services\Tcpip\..\{77514486-9A48-4383-9513-BC2F94A4AE8E}: NameServer = 10.0.0.2 »
|
Хм... Только что посмотрел в вышеупомянутом UnHackMe, и это -> {77514486-9A48-4383-9513-BC2F94A4AE8E} программа квалифицирует как Trojan Class : Hacker Defender Rootkit.
|
Котяра |
25-08-2008 18:10 883475 |
Цитата:
Цитата AliVe
Хм... Только что посмотрел в вышеупомянутом UnHackMe, и это -> {77514486-9A48-4383-9513-BC2F94A4AE8E} программа квалифицирует как Trojan Class : Hacker Defender Rootkit. »
|
Сказано же:
|
yurfed |
25-08-2008 18:12 883476 |
AliVe, посмотри в system.ini строку UserInit=C:\WINDOWS\System32\userinit.exe. Закомментируй её.
Отключи восстановление, пройдись в безопасном режиме CureIt
|
yurfed,
Цитата:
Цитата AliVe
1) не запускается в безопасном режиме »
|
...
Цитата:
Цитата yurfed
посмотри в system.ini строку UserInit=C:\WINDOWS\System32\userinit.exe »
|
Такой строки нету.
В HiJackThis пофиксил.
|
В общем полазил я и прояснилось следующее: были 2 руткита, которые я потом удалил с помощью утилиты UnhackMe. Также выяснилось, что в system32/Drivers лежит файл .exe (да, так и называется, .exe), который невозможно удалить даже с помощью комплекса программ от RegRun (Unknown error). Квалифицируется сей файл, как W32.Dotex.
.exe is W32.Dotex.
W32.Dotex is a worm that copies itself to the root of all drives and downloads potentially malicious files on to the compromised computer. It also attempts to disable various antivirus programs. Kill the process .exe and remove .exe from Windows startup using RegRun Reanimator.
Кто что может сказать по этому поводу?
|
Severny |
26-08-2008 13:32 884139 |
В AVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить".
Цитата:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\ldapi32.exe','');
QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll','');
QuarantineFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\FileDisk.sys','');
QuarantineFile('.sys','');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(10);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
|
После перезагурзки еще один скрипт и вышли папку "Quarantine" мне в PM.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Проверка CureIt как видно не выполнялась. Проведи сканирование системного диска в безопасном режиме.
Если после выполнения скрипта безопасный не заработал, попробуй этот *.reg.
Разберись с этим:
читать дальше »
C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR/{RAR}/startcmd.dll >>> подозрение на AdvWare.DigitalNames.a ( 005CD525 00000000 001A7E30 001C9CAC 36864)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR)
C:\disk\kerya\Проги\Installers\PersonalDesktopSpy-v2.10-setup.exe >>>>> Monitor.Win32.DesktopSpy удаление запрещено настройкой
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip/{ZIP}/DragonV4.0-small/DragonScript/System/dlls/sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe/{RAR-SFX}/script\dlls\sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\Скрипты\Satanist\Satanist.zip/{ZIP}/Satanist/SaTaNist.exe >>>>> Backdoor.Win32.mIRC-based
C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll >>>>> Trojan-PSW.Win32.OnLineGames.zex удаление запрещено настройкой
C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar/{RAR}/Evelina.exe >>> подозрение на Email-Worm.Win32.Warezov.mo ( 004397C8 000EB9C4 0016325F 001FE1C0 40960)
Файл успешно помещен в карантин (C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe)
|
Quarantine отправил. Проверку CureIt выполнил (спасибо, компьютер загрузился из безопасного режима). Обнаружен вирус Backdoor.Dosia в файле system32/ldapi.exe, действие - удалено. Также обнаружен вирус в "C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll" - Win32.Oliga[Trj]. Что посоветуешь делать далее?
|
Severny |
26-08-2008 23:18 884605 |
Выполни скрипт.
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\program files\windows media player\agent\wmplayer.exe','');
DeleteFile('c:\program files\windows media player\agent\wmplayer.exe');
DeleteFile('C:\WINDOWS\system32\ldapi32.exe');
DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll');
BC_ImportAll;
ExecuteRepair(13);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Разберись с этим:
читать дальше »
C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR/{RAR}/startcmd.dll >>> подозрение на AdvWare.DigitalNames.a ( 005CD525 00000000 001A7E30 001C9CAC 36864)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR)
C:\disk\kerya\Проги\Installers\PersonalDesktopSpy-v2.10-setup.exe >>>>> Monitor.Win32.DesktopSpy удаление запрещено настройкой
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip/{ZIP}/DragonV4.0-small/DragonScript/System/dlls/sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe/{RAR-SFX}/script\dlls\sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\Скрипты\Satanist\Satanist.zip/{ZIP}/Satanist/SaTaNist.exe >>>>> Backdoor.Win32.mIRC-based
C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll >>>>> Trojan-PSW.Win32.OnLineGames.zex удаление запрещено настройкой
C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar/{RAR}/Evelina.exe >>> подозрение на Email-Worm.Win32.Warezov.mo ( 004397C8 000EB9C4 0016325F 001FE1C0 40960)
Файл успешно помещен в карантин (C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe)
Что не считаешь нужным -- удали.
Ты вот этот файл ".exe" тоже пришли в PM. Я как то забыл про него.
|
Цитата:
Цитата Severny
Ты вот этот файл ".exe" тоже пришли в PM. Я как то забыл про него »
|
В том то всё и дело, что он не отображается эксплорером... И не удаляется RegRun'ом.
|
Vadikan |
27-08-2008 05:39 884712 |
Цитата:
Цитата AliVe
В том то всё и дело, что он не отображается эксплорером... И не удаляется RegRun'ом. »
|
А в командной строке (dir)? Попробуйте добавить его в 7-zip архив командой
Код:
7za a archive.zip .exe
См. http://www.7-zip.org/download.html 7-Zip Command Line Version
|
Severny |
27-08-2008 08:05 884749 |
Цитата:
Цитата AliVe
что он не отображается эксплорером... И не удаляется RegRun'ом. »
|
Оставь его в покое. Скорее всего его нет.
|
Цитата:
Цитата Severny
Оставь его в покое. Скорее всего его нет. »
|
Отображается как драйвер в РегРане... Процесс этот остановил им же. А драйвер не удаляется.
Цитата:
Цитата Vadikan
А в командной строке (dir)? »
|
Не удается найти файл.
|
Severny |
27-08-2008 22:39 885399 |
Цитата:
Цитата AliVe
Отображается как драйвер »
|
Странный драйвер с расширением .exe.
Скорее всего глюк. Во всяком случае его можно увидеть из под другой системы или LiveCD (или DOS), если он реально существует.
|
А что делать с неработающим восстановлением системы и диспетчером задач?
|
yurfed |
28-08-2008 13:09 885764 |
AliVe, судя по скриншоту нужно искать и удалить все autorun на дисках и флешках (естественно в разумных пределах и только те, которые ты незнаешь и которые ни о чём не говорят)
Цитата:
Цитата AliVe
А что делать с неработающим восстановлением системы »
|
Запустить эту службу.
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srservice]
"Start"=dword:00000002
Выполнить и перезагрузиться.
Попробуй ПУСК -Выполнить - taskmgr.exe
Если незапустится, то ПУСК -Выполнить - cmd, а оттуда taskmgr.exe и посмотри сообщение после запуска.
|
Диспетчер уже работает.
Цитата:
Цитата yurfed
судя по скриншоту нужно искать и удалить все autorun на дисках и флешках »
|
Не наблюдаю таковых.
Восстановление системы по прежнему не хочет работать. Когда жму "Отключить восстановление системы выдает следующее: "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите компьютер и вновь повторите попытку."
|
yurfed |
28-08-2008 18:28 885979 |
|
Petya V4sechkin |
28-08-2008 21:27 886086 |
Цитата:
Цитата AliVe
Восстановление системы по прежнему не хочет работать.
|
Переустановите System Restore: Пуск -> Выполнить ->
Код:
rundll32.exe advpack.dll,LaunchINFSection %windir%\inf\sr.inf
|
Severny |
28-08-2008 21:38 886095 |
Скрытые файлы
|
Цитата:
Цитата yurfed
Включена опция "Показывать скрытые файлы и папки"? »
|
Опция включена. Anti-autorun'ом пользуюсь давно, он ничего не нашел.
Цитата:
Цитата yurfed
ты выполнил приведённый выше код? »
|
Выполнил.
Цитата:
Цитата Petya V4sechkin
Переустановите System Restore: Пуск -> Выполнить -> »
|
Спасибо, переустановил. Но всё-равно не работает...
|
Severny |
29-08-2008 07:35 886307 |
А reg-файл тоже не помог?
|
Petya V4sechkin |
29-08-2008 09:49 886390 |
AliVe, скачайте Dial-a-fix, поставьте галки в области Registration center и нажмите GO.
При наличии ошибок в журнале событий приведите их в соответствии с этими инструкциями.
|
Цитата:
Цитата Severny
А reg-файл тоже не помог? »
|
Не помог.
Petya V4sechkin, четыре ошибки по ходу установки... В журнале Windows их нету, так что вылаживаю только скрины в архиве... Ссылка
|
Petya V4sechkin |
29-08-2008 15:00 886594 |
|
Petya V4sechkin, А что делать, если нету диска с Windows и на компьютере тоже нету?
|
Время: 07:32.
© OSzone.net 2001-