Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Нестабильная работа когмпьютера

Ответить
Настройки темы
Нестабильная работа когмпьютера

Новый участник


Сообщения: 39
Благодарности: 0


Конфигурация

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip hijackthis.zip
(3.6 Kb, 4 просмотров)
Здравствуйте. Появились следующие неполадки с компом букально через день после того как я устранил предыдущую проблему (цитата)
Цитата:
Столкнулся со след. проблемой: на флэшке поселился вирус autorun.inf. Avast антивирус его распознает как "VBS:Malware-gen". Раньше с подобного типа вирусами я сталкивался, но до этого мне помогали утилита Anti-autorun и несколько .reg файлов. А сейчас особенность вируса в том, что каждый раз при его удалении, чем бы то ни было, он создается снова буквально через 10-15 секунд после предыдущего удаления. Также сей вирус создает на флэшке папку RECYCLER с содержимым моей корзины, и стоит заметить, что при удалении этой папки обнаруживается файл autorunme.exe. Поиск файлов autorun.* на компьютере также не дал результатов. Возможно вы посоветуете мне, куда копать, и что сделать? Заранее благодарен.
P.S. Ниже представляю ссылку на архив с .reg файлами, которые я ранее применял.
http://dump.ru/file_catalog/1017274
Сейчас предыдущая проблема решена, но теперь с компьютером происходит следующее: 1) не запускается в безопасном режиме; 2) не запускается восстановление системы; 3) компьютер виснет при нажатии "Завершить процесс" в taskmgr.

Отправлено: 16:33, 25-08-2008

 

Новый участник


Сообщения: 39
Благодарности: 0

Профиль | Отправить PM | Цитировать


Извиняюсь за немного неверное название темы...

Отправлено: 16:47, 25-08-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для yurfed

Ветеран


Сообщения: 20039
Благодарности: 3121

Профиль | Отправить PM | Цитировать


AliVe, пофикси в HijackThis
Код: Выделить весь код
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{77514486-9A48-4383-9513-BC2F94A4AE8E}: NameServer = 10.0.0.2
Цитата:
Проверьте вашу папку SYSTEM32 на наличие в ней ntos.exe и/или userinit.exe файлов. Если таковые есть тоже не паникуйте а выполните следующие действия, предлагаемые на сайте SecurityLab:
Путем добавления любого символа в конец имени вредоносного модуля изменить значение ключа системного реестра (Пуск/Выполнить/regedit). Например:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
Перезагрузить компьютер.
Вручную удалить следующий файл из системного каталога Windows: ntos.exe
По логам AVZ тоже очень много нехорошего. Сам я в скрипты AVZ не вникал, но думаю ребята (Severny или Pili) помогут.

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Отправлено: 16:56, 25-08-2008 | #3


Новый участник


Сообщения: 39
Благодарности: 0

Профиль | Отправить PM | Цитировать


yurfed, Что ж, спасибо Вам за совет, будем ждать советов других. Файла ntos.exe не обнаружено. Программа UnhackMe вроде-бы обнаружила руткиты в системе. Пока что ничего не трогаю.

Цитата yurfed:
O17 - HKLM\System\CCS\Services\Tcpip\..\{77514486-9A48-4383-9513-BC2F94A4AE8E}: NameServer = 10.0.0.2 »
Хм... Только что посмотрел в вышеупомянутом UnHackMe, и это -> {77514486-9A48-4383-9513-BC2F94A4AE8E} программа квалифицирует как Trojan Class : Hacker Defender Rootkit.

Последний раз редактировалось AliVe, 25-08-2008 в 18:02. Причина: Добавлено сообщение


Отправлено: 17:57, 25-08-2008 | #4


Аватара для Котяра

Ветеран


Сообщения: 2907
Благодарности: 331

Профиль | Отправить PM | Цитировать


Цитата AliVe:
Хм... Только что посмотрел в вышеупомянутом UnHackMe, и это -> {77514486-9A48-4383-9513-BC2F94A4AE8E} программа квалифицирует как Trojan Class : Hacker Defender Rootkit. »
Сказано же:
Цитата yurfed:
пофикси в HijackThis »

Отправлено: 18:10, 25-08-2008 | #5


Аватара для yurfed

Ветеран


Сообщения: 20039
Благодарности: 3121

Профиль | Отправить PM | Цитировать


AliVe, посмотри в system.ini строку UserInit=C:\WINDOWS\System32\userinit.exe. Закомментируй её.
Отключи восстановление, пройдись в безопасном режиме CureIt

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Отправлено: 18:12, 25-08-2008 | #6


Новый участник


Сообщения: 39
Благодарности: 0

Профиль | Отправить PM | Цитировать


yurfed,
Цитата AliVe:
1) не запускается в безопасном режиме »
...
Цитата yurfed:
посмотри в system.ini строку UserInit=C:\WINDOWS\System32\userinit.exe »
Такой строки нету.

В HiJackThis пофиксил.

Отправлено: 18:33, 25-08-2008 | #7


Новый участник


Сообщения: 39
Благодарности: 0

Профиль | Отправить PM | Цитировать


В общем полазил я и прояснилось следующее: были 2 руткита, которые я потом удалил с помощью утилиты UnhackMe. Также выяснилось, что в system32/Drivers лежит файл .exe (да, так и называется, .exe), который невозможно удалить даже с помощью комплекса программ от RegRun (Unknown error). Квалифицируется сей файл, как W32.Dotex.
.exe is W32.Dotex.
W32.Dotex is a worm that copies itself to the root of all drives and downloads potentially malicious files on to the compromised computer. It also attempts to disable various antivirus programs. Kill the process .exe and remove .exe from Windows startup using RegRun Reanimator.

Кто что может сказать по этому поводу?

Последний раз редактировалось AliVe, 26-08-2008 в 13:11.


Отправлено: 12:39, 26-08-2008 | #8


Ветеран


Сообщения: 3487
Благодарности: 507

Профиль | Сайт | Отправить PM | Цитировать


В AVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить".
Цитата:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\ldapi32.exe','');
QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll','');
QuarantineFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\FileDisk.sys','');
QuarantineFile('.sys','');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(10);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После перезагурзки еще один скрипт и вышли папку "Quarantine" мне в PM.
Код: Выделить весь код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Проверка CureIt как видно не выполнялась. Проведи сканирование системного диска в безопасном режиме.
Если после выполнения скрипта безопасный не заработал, попробуй этот *.reg.
Разберись с этим:
читать дальше »
C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR/{RAR}/startcmd.dll >>> подозрение на AdvWare.DigitalNames.a ( 005CD525 00000000 001A7E30 001C9CAC 36864)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR)
C:\disk\kerya\Проги\Installers\PersonalDesktopSpy-v2.10-setup.exe >>>>> Monitor.Win32.DesktopSpy удаление запрещено настройкой
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip/{ZIP}/DragonV4.0-small/DragonScript/System/dlls/sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe/{RAR-SFX}/script\dlls\sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\Скрипты\Satanist\Satanist.zip/{ZIP}/Satanist/SaTaNist.exe >>>>> Backdoor.Win32.mIRC-based
C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll >>>>> Trojan-PSW.Win32.OnLineGames.zex удаление запрещено настройкой
C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar/{RAR}/Evelina.exe >>> подозрение на Email-Worm.Win32.Warezov.mo ( 004397C8 000EB9C4 0016325F 001FE1C0 40960)
Файл успешно помещен в карантин (C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe)

-------
Просьба обращаться на "ты".


Последний раз редактировалось Severny, 16-12-2020 в 19:49.

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:32, 26-08-2008 | #9


Новый участник


Сообщения: 39
Благодарности: 0

Профиль | Отправить PM | Цитировать


Quarantine отправил. Проверку CureIt выполнил (спасибо, компьютер загрузился из безопасного режима). Обнаружен вирус Backdoor.Dosia в файле system32/ldapi.exe, действие - удалено. Также обнаружен вирус в "C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll" - Win32.Oliga[Trj]. Что посоветуешь делать далее?

Отправлено: 23:05, 26-08-2008 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Нестабильная работа когмпьютера

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - Нестабильная работа Windows XP Dragon_1 Microsoft Windows 2000/XP 5 25-06-2009 13:10
ATHLON X2 нестабильная работа volean Процесcоры 29 03-09-2008 19:51
Нестабильная работа компьютера 00ff00 Непонятные проблемы с Железом 14 07-03-2008 23:39
Нестабильная работа USB2.0 ScorpionXXX Microsoft Windows 2000/XP 5 26-04-2006 02:17
Нестабильная работа сети Candyman Непонятные проблемы с Железом 22 07-12-2005 09:08




 
Переход