18.10.2010, 17:35 | #1 (ссылка) |
Новичок
Регистрация: 13.10.2010
Сообщений: 19
Репутация: 0
|
Поиск вирусов, вызывающих появление "синего экрана"
Вот лог-файлы AVZ & Hijak
Скачать virusinfo_syscure.zip с WebFile.RU Скачать hijackthis.log с WebFile.RU |
18.10.2010, 17:54 | #2 (ссылка) |
Мастер
|
lemur777, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\csrcs.exe'); QuarantineFile('C:\WINDOWS\system32\xRfd8o.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\zuagxvcfpiaxl1.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\zuagxvcfpiaxl1.sys'); DeleteFile('C:\WINDOWS\svc2.exe'); DeleteFile('C:\WINDOWS\system32\xRfd8o.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\WINDOWS\TEMP\01nuhjh.exe'); DeleteFile('C:\WINDOWS\TEMP\geurge.exe'); DeleteFile('C:\WINDOWS\TEMP\rcx7tc.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','b3m1u'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ewrgetuj'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','zhswcl'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; ClearHostsFile; RebootWindows(true); end. |
19.10.2010, 11:33 | #3 (ссылка) |
Новичок
Регистрация: 13.10.2010
Сообщений: 19
Репутация: 0
|
Iljeben,
Скачать virusinfo_syscheck.zip с WebFile.RU[COLOR="Silver"] или http://webfile.ru/4826313 как Вам удобнее? Последний раз редактировалось lemur777; 19.10.2010 в 11:42. |
19.10.2010, 11:59 | #4 (ссылка) |
Стажёр
|
Отключите ПК от интернета/локалки
Отключите антивирус/фаервол Отключите восстановление системы Выполните в AVZ скрипт: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\xRfd8o.dll',''); QuarantineFile('C:\WINDOWS\system32\szetyj67vx.exe',''); QuarantineFile('C:\WINDOWS\system32\szetyj67v.exe',''); DelBHO('{1ecc48e9-5335-febc-7d31-d6e874764e76}'); DeleteFile('C:\WINDOWS\system32\xRfd8o.dll'); DeleteFile('C:\WINDOWS\system32\szetyj67v.exe'); DeleteFile('C:\WINDOWS\system32\szetyj67vx.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','szetyj67v'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','szetyj67vx'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. После перезагрузки выполнить вот этот скрипт: Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip. + логи GMER:http://pchelpforum.ru/showpost.php?p=252281&postcount=6 и МВАМ: http://pchelpforum.ru/showpost.php?p=206554&postcount=5 |
21.10.2010, 15:26 | #6 (ссылка) |
Новичок
Регистрация: 13.10.2010
Сообщений: 19
Репутация: 0
|
Гарад
: http://webfile.ru/4832279 : http://webfile.ru/4832283 : http://webfile.ru/4832284 ---------- Добавлено в 09:23 ---------- Предыдущее сообщение было написано в 08:06 ---------- Гарад : http://webfile.ru/4832279 : http://webfile.ru/4832283 : http://webfile.ru/4832284 ---------- Добавлено в 12:26 ---------- Предыдущее сообщение было написано в 09:23 ---------- К сожалению эта машина доступна по графику работы предприятия, след-но с 8 до 16 и не каждый день. Поэтому прошу меня простить за задержки ответов. |
21.10.2010, 16:05 | #7 (ссылка) |
Мастер
|
lemur777, Вы сами пробовали перейти по ссылке? Перезалейте на http://exfile.ru/.
|
21.10.2010, 17:57 | #9 (ссылка) |
Мастер
|
lemur777, удалите найденное в МВАМ.
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe Код:
gmer.exe -del service zuagxvcfpiaxl1 gmer.exe -del file "C:\WINDOWS\system32\drivers\zuagxvcfpiaxl1.sys" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zuagxvcfpiaxl1" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\zuagxvcfpiaxl1" gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\zuagxvcfpiaxl1" gmer.exe -del reg "HKLM\SOFTWARE\Classes\vcsfile" gmer.exe -del reg "HKLM\SOFTWARE\Classes\vcffile" gmer.exe -del reg "HKLM\SOFTWARE\Classes\Sidebar.GadgetHost.1" gmer.exe -del reg "HKLM\SOFTWARE\Classes\Sidebar.GadgetHost" gmer.exe -del reg "HKLM\SOFTWARE\Classes\rmffile" gmer.exe -del reg "HKLM\SOFTWARE\Classes\PDF.PdfCtrl.1" gmer.exe -del reg "HKLM\SOFTWARE\Classes\pd_auto_file" gmer.exe -del reg "HKLM\SOFTWARE\Classes\mailto" gmer.exe -del reg "HKLM\SOFTWARE\Classes\icsfile" gmer.exe -del reg "HKLM\SOFTWARE\Classes\ComStrm.VarStream" gmer.exe -del reg "HKLM\SOFTWARE\Classes\ComStrm.FileStream" gmer.exe -del reg "HKLM\SOFTWARE\Classes\AIMP.EventMusic" gmer.exe -del reg "HKLM\SOFTWARE\Classes\AIMP.EventCDA" gmer.exe -del reg "HKLM\SOFTWARE\Classes\AcroExch.FDFDoc" gmer.exe -del reg "HKLM\SOFTWARE\Classes\AcroExch.Document" gmer.exe -del reg "HKLM\SOFTWARE\Classes\.vcs" gmer.exe -del reg "HKLM\SOFTWARE\Classes\.vcf" gmer.exe -del reg "HKLM\SOFTWARE\Classes\.rmf" gmer.exe -del reg "HKLM\SOFTWARE\Classes\.pd" gmer.exe -del reg "HKLM\SOFTWARE\Classes\.ics" gmer.exe -del reg "HKLM\SOFTWARE\Classes\.fdf" gmer.exe -reboot После перезагрузки выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. |
22.10.2010, 13:57 | #11 (ссылка) | |
Мастер
|
lemur777, вот эти файлы:
Цитата:
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\zuagxvcfpiaxl1.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\zuagxvcfpiaxl1.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. На данный момент, что волнует? |
|
22.10.2010, 15:22 | #12 (ссылка) |
Новичок
Регистрация: 13.10.2010
Сообщений: 19
Репутация: 0
|
Iljeben,
http://www.virustotal.com/file-scan/...e1f-1287741520 там строка с вирусом: (Ikarus T3.1.1.90.0 2010.10.22 Virus.Win32.Virut) Файл "msbpfdqe.dll" ни я ни система (при загрузке жалуется на отсутствие модуля с этим именем) не можем найти. |
22.10.2010, 16:14 | #13 (ссылка) |
Мастер
|
Ясно. Файл Userinit.exe потом замените с чистой системы.
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\msbpfdqe.dll',''); DeleteFile('C:\WINDOWS\system32\msbpfdqe.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','weukfc'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. |
25.10.2010, 12:38 | #15 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\zuagxvcfpiaxl1.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Помогите решить задачу на "Поиск решения", Excel | Annitka | Офис | 3 | 10.05.2010 23:28 |
Пропал "ПОИСК" | Doctorus | Windows 7 | 4 | 24.04.2010 16:29 |
НЕ работает кнопка "Перезагрузка", остальные "Ждущий режим"\"Выкл." в норме. | Мириам | Windows XP | 0 | 24.03.2010 13:11 |
Инструкция по адресу "0x436b10f" обратилась к памяти "0x03793dac". Вирус? | skazka | Windows XP | 12 | 23.03.2010 04:11 |
Ошибка "синего экрана" | Белая_Смерть | Windows XP | 11 | 22.03.2010 12:11 |
Не работает оция """Эскизы Страниц""" | Stasok94 | Неисправности, настройка | 2 | 06.11.2009 18:40 |
какая программа открывает файлы с расширением "z0" "z01" | karangor | Утилиты | 1 | 27.10.2009 00:47 |
При запуске системы выводится окно-"Не удалось запустить "Соседние пользователи"" | Ирина К | Windows Vista | 2 | 02.10.2009 15:40 |
Появление синего экрана (разный)! | Tiras007 | Неисправности, настройка | 8 | 02.10.2009 13:27 |
Пропал "Поиск" | romul781 | Windows XP | 41 | 02.07.2009 18:31 |
Exel 2007 "поиск решения"-нужна помощь! | Vampyrica | Офис | 2 | 17.06.2009 21:18 |
Инструкция по ошибкам "Голубого экрана смерти" - BSOD | BIG | Операционные системы | 1 | 12.04.2009 19:00 |