Иероглифы при загрузке Windows - Страница 2

ins · 28.08.2011, 00:52

Здравствуйте!
У меня похожая проблема. Перед загрузкой ОС выпадает экран с иероглифами http://rghost.ru/19544351
Есть подозрение что это винлокер, поэтому и обращаюсь за помощью к Вам на форум.
По инструкции (http://pchelpforum.ru/f26/t24207/#post541202) сделал образ автозапуска ОС - http://rghost.ru/19541981
Жду дальнейших указаний...

safety · 28.08.2011, 10:31

ins,
файл скрипта скачать отсюда
http://rghost.ru/19567501
записать на флэшку,
загрузиться с Live.CD, как в первом случае при создании образа, с выбором вашей системы на диске C
выполнить скрипт из файла (не из буфера обмена, как обычно мы здесь делаем)

после выполнения, перегружаем систему,
пишем результат.

---------- Добавлено в 12:31 ---------- Предыдущее сообщение было написано в 12:23 ----------

вообщем, все верно, в системе MBRLock, при антивира показывают на это.
при проверке дампа MBR

Цитата:

DrWeb 5.0.2.03300 2011.08.28 Trojan.MBRlock.14
Kaspersky 9.0.0.837 2011.08.28 Trojan-Ransom.Boot.Mbro.d
Microsoft 1.7604 2011.08.27 Trojan

OS/Ransom.A

http://www.virustotal.com/file-scan/...710-1314508469

добавленный скрипт должен помочь вам.

ins · 28.08.2011, 13:06

Спасибо большое. Все получилось.
Выполнил скрипт, перезагрузился - система стартовала.
Вот для контроля образ автозапуска из активной системы http://rghost.ru/19575921
Интересно, почему работающий касперский 7.0.1.325 со свежими обновлениями баз (от 19.08.11) пропустил MBRLock?
И еще вопрос, есть ли смысл запускать сканер Dr.Web (CureIt) для полной проверки системы после лечения uVS'ом?

safety · 28.08.2011, 13:36

лог чистый,
Пропустил Касперский возможно потому что у вас все таки устаревшая версия КИС

Цитата:

Полное имя C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 7.0\AVP.EXE
Имя файла AVP.EXE
Тек. статус АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Размер 227856 байт
Создан 08.02.2008 в 17:36:14
Изменен 08.02.2008 в 17:36:14
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Kaspersky Lab

Оригинальное имя AVP.EXE
Версия файла 7.0.1.325
Версия продукта 7.0.1.325
Продукт Kaspersky Anti-Virus
Copyright Copyright © Kaspersky Lab 1996-2007.
Производитель Kaspersky Lab

вообще у них уже КИС 2012 выпущен, но насколько стабилен и надежен не в курсе.
Пропустил видимо потому что и другие антивиры пропускают, не успевают за вирусописателями обновлять базы.

Смысл сканирования КУрит я вижу лишь в том случае, если есть подозрение на файлвое заражение, тогда это обязательно, а так можно запустить длинную проверку, когда не нужен комп несколько часов. Возможно какие то хвосты еще найдет, чего нет в автозапуске.

а вот быструю проверку малваребайт имеет смысл сделать сейчас
-------------
скачайте программу malwarebytes (free version)
http://www.malwarebytes.org/mbam.php

установить (только сканер!), обновить базы, выполнить быстрое сканирование,
после завершения сканирования,
текстовый лог (в виде файла) добавить в ваше сообщение на форум.

ins · 28.08.2011, 18:04

Цитата:

Сообщение от safety

а вот быструю проверку малваребайт имеет смысл сделать сейчас
-------------
скачайте программу malwarebytes (free version)
http://www.malwarebytes.org/mbam.php

установить (только сканер!), обновить базы, выполнить быстрое сканирование,
после завершения сканирования,
текстовый лог (в виде файла) добавить в ваше сообщение на форум.

сделал быструю проверку с помощью Malwarebytes, вот лог - http://rghost.ru/19605331
в результате сканирования нашел 3 подозрительных объекта (2 файла и ветка реестра).

Vvvyg · 28.08.2011, 18:06

ins, удалите это:

Код:

Зараженные файлы:
c:\documents and settings\User\application data\netprotdrvss.exe (Trojan.Agent) -> No action taken.
c:\sound32.dll (Trojan.Agent) -> No action taken.

ins · 28.08.2011, 18:37

удалил 2 файла
пересканировал снова - все чисто!
еще раз спасибо за помощь.

Vvvyg · 28.08.2011, 18:39

ins, сделайте ещё следующее.
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

ins · 28.08.2011, 19:04

В AVZ провел сначала сканирование быстрое (процессы, эвристика, потенциальные уязвимости)- чисто, затем выполнил скрипт, открылся текстовый файл с уязвимостями:

"Поиск критических уязвимостей
Уязвимости в Adobe Flash Player для Internet Explorer
http://fpdownload.adobe.com/get/flas..._player_ax.exe

Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
http://fpdownload.adobe.com/get/flas...ash_player.exe

Множественные уязвимости в Sun Java JDK и JRE. Деинсталлируйте старую версию и установите новую:
http://www.java.com/ru/download/manual.jsp

Обнаружено уязвимостей: 3"

Посмотрел логи системы, нашел ошибку, которая постоянно пишется в журнал системы:
Источник Windows Update Agent
Ошибка установки: не удается установить следующее обновление из-за ошибки 0x8007f0ea: Обновление для системы безопасности Windows XP (KB2509553).

Автоматическое обновление включено по расписанию раз в неделю.

Vvvyg · 28.08.2011, 19:08

Цитата:

Сообщение от ins

Ошибка установки: не удается установить следующее обновление из-за ошибки 0x8007f0ea: Обновление для системы безопасности Windows XP (KB2509553).

Попробуйте советы отсюда. То, что предлагается по результату скрипта - установите обязательно и следите за обновлениями этих приложений.

ins · 28.08.2011, 19:14

спасибо за рекомендации, обязательно выполню их.

Katerina_87 · 30.08.2011, 23:49

Цитата:

Сообщение от safety

Катерина_87,
удалите все найденные объекты в малваребайт,
перезагрузка,
новый лог малваребайт для контроля.

Все сделала, вот http://rghost.ru/19916981

Vvvyg · 30.08.2011, 23:57

Katerina_87, чисто. Выполнит ещё рекомендацию отсюда.

RVV · 31.08.2011, 15:45

Добрый день, такая же ситуация как и у ТС. Сделал все как во втором посте. Вот файл: http://rghost.ru/19983411
Помогите пожалуйста избавиться от этой заразы)) Жду дальнейших рекомендаций.

safety · 31.08.2011, 15:55

RVV,
я так понимаю у вас тоже MBRLock,
если да,
то,
загрузиться с LiveCD так же как и пр и создании образа.

выполните в uVS скрипт из файла
---------
файл скрипта взять отсюда
http://rghost.ru/19985351

перезагрузка,

пишем результат.

28.08.2011, 18:06	#21 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	ins, удалите это: Код: Зараженные файлы: c:\documents and settings\User\application data\netprotdrvss.exe (Trojan.Agent) -> No action taken. c:\sound32.dll (Trojan.Agent) -> No action taken.

28.08.2011, 18:39	#23 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	ins, сделайте ещё следующее. Выполните скрипт в AVZ при наличии доступа в интернет: Код: begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус при загрузке Windows	DeathInZoO	Безопасность	4	14.07.2011 10:12
иероглифы	XTZ-88	Неисправности, настройка	5	09.06.2011 00:47
Иероглифы после перед загрузкой Windows	gornostysha	Неисправности, настройка	0	17.03.2011 19:44
иероглифы(((	тоха777	Безопасность	2	14.03.2011 02:06
Проблема при загрузке Windows	me44ta	Windows XP	2	07.02.2011 21:03
При загрузке Windows сообщение "Windows не удалось найти amht.xfo...	dianta	Безопасность	13	03.02.2011 00:36
Проблема при загрузке windows	Натик91	Windows XP	5	07.09.2010 19:56
проблема при загрузке windows xp	Serg7383	Windows XP	16	02.08.2010 22:20
При загрузке Windows, отключается	jivcik	Неисправности, настройка	2	02.02.2010 17:47
Вылазит сообщение типа всякие иероглифы и надпись BOOT.INI \windows\??.	raul245	Windows XP	13	31.08.2009 19:48
Проблема при загрузке Windows XP	white_canvas	Windows XP	1	23.05.2009 23:54
Проблема при загрузке Windows XP	rike-25	Windows XP	3	10.05.2009 01:12

28.08.2011, 00:52	#16 (ссылка)
ins Новичок Регистрация: 28.08.2011 Сообщений: 6 Репутация: 0	Здравствуйте! У меня похожая проблема. Перед загрузкой ОС выпадает экран с иероглифами http://rghost.ru/19544351 Есть подозрение что это винлокер, поэтому и обращаюсь за помощью к Вам на форум. По инструкции (http://pchelpforum.ru/f26/t24207/#post541202) сделал образ автозапуска ОС - http://rghost.ru/19541981 Жду дальнейших указаний...

28.08.2011, 13:06	#18 (ссылка)
ins Новичок Регистрация: 28.08.2011 Сообщений: 6 Репутация: 0	Спасибо большое. Все получилось. Выполнил скрипт, перезагрузился - система стартовала. Вот для контроля образ автозапуска из активной системы http://rghost.ru/19575921 Интересно, почему работающий касперский 7.0.1.325 со свежими обновлениями баз (от 19.08.11) пропустил MBRLock? И еще вопрос, есть ли смысл запускать сканер Dr.Web (CureIt) для полной проверки системы после лечения uVS'ом?

28.08.2011, 18:37	#22 (ссылка)
ins Новичок Регистрация: 28.08.2011 Сообщений: 6 Репутация: 0	удалил 2 файла пересканировал снова - все чисто! еще раз спасибо за помощь.

28.08.2011, 19:04	#24 (ссылка)
ins Новичок Регистрация: 28.08.2011 Сообщений: 6 Репутация: 0	В AVZ провел сначала сканирование быстрое (процессы, эвристика, потенциальные уязвимости)- чисто, затем выполнил скрипт, открылся текстовый файл с уязвимостями: "Поиск критических уязвимостей Уязвимости в Adobe Flash Player для Internet Explorer http://fpdownload.adobe.com/get/flas..._player_ax.exe Уязвимости в Adobe Flash Player для Firefox/Safari/Opera http://fpdownload.adobe.com/get/flas...ash_player.exe Множественные уязвимости в Sun Java JDK и JRE. Деинсталлируйте старую версию и установите новую: http://www.java.com/ru/download/manual.jsp Обнаружено уязвимостей: 3" Посмотрел логи системы, нашел ошибку, которая постоянно пишется в журнал системы: Источник Windows Update Agent Ошибка установки: не удается установить следующее обновление из-за ошибки 0x8007f0ea: Обновление для системы безопасности Windows XP (KB2509553). Автоматическое обновление включено по расписанию раз в неделю.

28.08.2011, 19:14	#26 (ссылка)
ins Новичок Регистрация: 28.08.2011 Сообщений: 6 Репутация: 0	спасибо за рекомендации, обязательно выполню их.

30.08.2011, 23:57	#28 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Katerina_87, чисто. Выполнит ещё рекомендацию отсюда.

31.08.2011, 15:45	#29 (ссылка)
RVV Новичок Регистрация: 31.08.2011 Сообщений: 2 Репутация: 0	Добрый день, такая же ситуация как и у ТС. Сделал все как во втором посте. Вот файл: http://rghost.ru/19983411 Помогите пожалуйста избавиться от этой заразы)) Жду дальнейших рекомендаций.

31.08.2011, 15:55	#30 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	RVV, я так понимаю у вас тоже MBRLock, если да, то, загрузиться с LiveCD так же как и пр и создании образа. выполните в uVS скрипт из файла --------- файл скрипта взять отсюда http://rghost.ru/19985351 перезагрузка, пишем результат.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads