И снова RC=3221225477

Spirit2006 · 01.09.2011, 04:44

Ночи доброй коллеги. Поймал эту собаку в мешке, после чего отказались запускаться антивирус\браузеры (еле вытащил правда интернет эксплоер 64 бита)\большинство программ. В безопасном режиме правда все работает, но ни портативный доктор вэб ни NIS 2011, ни Zone Alarm + Avira не помогли. Логи прилагаются. Помогите пожалуйста, так как систему отлаживал под себя достаточно долго и как на зло недавно удалил образ системы, из-за нехватки места.=(

P.S. Предыдущие посты прочитанны и в 2 из них схожая проблема, но скрипты не помогли (я переписал их с учетом моих путей к папкам) - http://pchelpforum.ru/f26/t65986/ , с остальными небольшая схожесть в паре строчек кода ( были обнаружены файлы).

http://exfile.ru/205882

Lexer · 01.09.2011, 07:06

Spirit2006, Привет. От авз нужен архив virusinfo_syscure

Spirit2006 · 01.09.2011, 10:47

Обновил архив. ( извините ночью перепутал второй и третий скрипт).

http://rghost.ru/20077681

Lexer · 01.09.2011, 12:57

Spirit2006, Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\vrpldje.dll','');
 DeleteFile('C:\Windows\system32\vrpldje.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите файл лога virusinfo_syscheck.zip

safety · 01.09.2011, 13:25

если пробелма не решится, вот такой скрипт выполнить в uVS
-----------------
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:

;uVS v3.70 script [http://dsrt.dyndns.org]

sreg
delref %SystemRoot%\SYSWOW64\VRPLDJE.DLL
areg

перезагрузка,
пишем о старых и новых проблемах.

Spirit2006 · 01.09.2011, 19:56

Новый лог файл. Извиняюсь что так долго - только с работы... Делаю все по пунктам ( этот лог без поста 5) сейчас применю еще пост 5.

http://rghost.ru/20128731

maksimog · 01.09.2011, 20:06

Выполните скрипт в AVZ:
Как выполнить написано тут http://pchelpforum.ru/f26/t24207/

Код:

begin
 QuarantineFile('C:\Windows\system32\vrpldje.dll','');
 QuarantineFile('C:\Windows\system32\cpldapu\produkey.exe','');
 DelBHO('AutorunsDisabled');
 QuarantineFile('C:\Users\Spirit\AppData\Local\Temp\cpuz135\cpuz135_x64.sys','');
 DeleteService('cpuz135');
 DeleteFile('C:\Users\Spirit\AppData\Local\Temp\cpuz135\cpuz135_x64.sys');
 DeleteFile('C:\Windows\system32\vrpldje.dll');
 DeleteFile('C:\Windows\system32\cpldapu\produkey.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Пришлите quarantine.zip сюда sendvirus2011@gmail.com

Спасибо

safety · 01.09.2011, 20:13

Цитата:

Сообщение от Spirit2006

Новый лог файл. Извиняюсь что так долго - только с работы... Делаю все по пунктам ( этот лог без поста 5) сейчас применю еще пост 5.

http://rghost.ru/20128731

файлик на месте остался, поэтому выполняйте скрпт в uVS по порядку

---------- Добавлено в 22:13 ---------- Предыдущее сообщение было написано в 22:11 ----------

вот это выполнить в uVS, далее новый образ uVS

Код:

;uVS v3.70 script [http://dsrt.dyndns.org]

sreg
delref %SystemRoot%\SYSWOW64\VRPLDJE.DLL
areg

Spirit2006 · 01.09.2011, 20:17

Вернулось все в норму после скрипта uVS. Спасибо огромное. Сейчас сделаю по новой все логи из 3 программ и выложу в этом же сообщении ( чтобы не флудить=))

http://exfile.ru/206048

safety · 01.09.2011, 20:31

ок, ждем новые логи

Spirit2006 · 01.09.2011, 21:26

Каков вердикт=)? ( ни в коем случае не подгоняю - мои извинения если что). Сам виновник этого события вот (двойной архив) http://rghost.ru/20141331

safety · 01.09.2011, 21:41

надо посмотреть новый образ автозапуска, если файл был исключен из автозапуска предыдущим скриптом, то совсем его закарантинить отправить в вирлаб, а затем убить. И зачистить стандартными скриптами темпы, ссылки на несуществующие программы и .т.п.

---------- Добавлено в 23:36 ---------- Предыдущее сообщение было написано в 23:33 ----------

т.е. файл %SystemRoot%\SYSWOW64\VRPLDJE.DLLl остался в системе на диске, но он неактивен и безопасен, поскольку исключен из автозапуска.

---------- Добавлено в 23:40 ---------- Предыдущее сообщение было написано в 23:36 ----------

файлик по вашей ссылке, действительно ест ьустановщик Cidox

http://www.virustotal.com/file-scan/...dc1-1314894344

---------- Добавлено в 23:41 ---------- Предыдущее сообщение было написано в 23:40 ----------

DrWeb 5.0.2.03300 2011.09.01 Trojan.Mayachok.1
Kaspersky 9.0.0.837 2011.09.01 Trojan-Dropper.Win32.Cidox.cku
NOD32 6427 2011.09.01 a variant of Win32/Kryptik.SFL

Spirit2006 · 01.09.2011, 21:44

Последние логи в ttp://rghost.ru/20141331 ( трех программ), сейчас DrWeb уже проверился что то нашел. Проверяю Авирой, а после и NIS 2011. Выложу еще логи после глобальной проверки. Это будет где то в 10 по Москве.

Немного запоздал. Данный файл на данный момент там и находится. Имеет ли смысл пройтись Unlocker'ом? Прошу прощения конечно. Касперским пользовался некоторое время но перешел на NOD 32 и NIS 2011. Причина была в перепадах системных ресурсов (неплохо работает, но часто зашкаливает память на него)

safety · 01.09.2011, 21:47

ок,
поскольку антивирусы знают установочный файл, возможно при сканировании они затрут и эту dll, но она сейчас безопасна, просто мусор, и свмостоятельно уже не запустится.

Spirit2006 · 01.09.2011, 22:09

Еще раз огромное спасибо.=) Буду ждать тогда обновлений что бы само собой исчезло.

01.09.2011, 04:44	#1 (ссылка)
Spirit2006 Новичок Регистрация: 01.09.2011 Сообщений: 7 Репутация: 0	И снова RC=3221225477 Ночи доброй коллеги. Поймал эту собаку в мешке, после чего отказались запускаться антивирус\браузеры (еле вытащил правда интернет эксплоер 64 бита)\большинство программ. В безопасном режиме правда все работает, но ни портативный доктор вэб ни NIS 2011, ни Zone Alarm + Avira не помогли. Логи прилагаются. Помогите пожалуйста, так как систему отлаживал под себя достаточно долго и как на зло недавно удалил образ системы, из-за нехватки места.=( P.S. Предыдущие посты прочитанны и в 2 из них схожая проблема, но скрипты не помогли (я переписал их с учетом моих путей к папкам) - http://pchelpforum.ru/f26/t65986/ , с остальными небольшая схожесть в паре строчек кода ( были обнаружены файлы). http://exfile.ru/205882

01.09.2011, 12:57	#4 (ссылка)
Lexer Мастер Регистрация: 24.10.2010 Сообщений: 4,156 Репутация: 513	Spirit2006, Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...) Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\vrpldje.dll',''); DeleteFile('C:\Windows\system32\vrpldje.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите файл лога virusinfo_syscheck.zip

01.09.2011, 13:25	#5 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	если пробелма не решится, вот такой скрипт выполнить в uVS ----------------- выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код: ;uVS v3.70 script [http://dsrt.dyndns.org] sreg delref %SystemRoot%\SYSWOW64\VRPLDJE.DLL areg перезагрузка, пишем о старых и новых проблемах.

01.09.2011, 20:17	#9 (ссылка)
Spirit2006 Новичок Регистрация: 01.09.2011 Сообщений: 7 Репутация: 0	Вернулось все в норму после скрипта uVS. Спасибо огромное. Сейчас сделаю по новой все логи из 3 программ и выложу в этом же сообщении ( чтобы не флудить=)) http://exfile.ru/206048 Последний раз редактировалось Spirit2006; 01.09.2011 в 20:45.

01.09.2011, 21:44	#13 (ссылка)
Spirit2006 Новичок Регистрация: 01.09.2011 Сообщений: 7 Репутация: 0	Последние логи в ttp://rghost.ru/20141331 ( трех программ), сейчас DrWeb уже проверился что то нашел. Проверяю Авирой, а после и NIS 2011. Выложу еще логи после глобальной проверки. Это будет где то в 10 по Москве. Немного запоздал. Данный файл на данный момент там и находится. Имеет ли смысл пройтись Unlocker'ом? Прошу прощения конечно. Касперским пользовался некоторое время но перешел на NOD 32 и NIS 2011. Причина была в перепадах системных ресурсов (неплохо работает, но часто зашкаливает память на него) Последний раз редактировалось Spirit2006; 01.09.2011 в 21:53.

01.09.2011, 07:06	#2 (ссылка)
Lexer Мастер Регистрация: 24.10.2010 Сообщений: 4,156 Репутация: 513	Spirit2006, Привет. От авз нужен архив virusinfo_syscure

01.09.2011, 10:47	#3 (ссылка)
Spirit2006 Новичок Регистрация: 01.09.2011 Сообщений: 7 Репутация: 0	Обновил архив. ( извините ночью перепутал второй и третий скрипт). http://rghost.ru/20077681

01.09.2011, 19:56	#6 (ссылка)
Spirit2006 Новичок Регистрация: 01.09.2011 Сообщений: 7 Репутация: 0	Новый лог файл. Извиняюсь что так долго - только с работы... Делаю все по пунктам ( этот лог без поста 5) сейчас применю еще пост 5. http://rghost.ru/20128731

01.09.2011, 20:31	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	ок, ждем новые логи

01.09.2011, 21:26	#11 (ссылка)
Spirit2006 Новичок Регистрация: 01.09.2011 Сообщений: 7 Репутация: 0	Каков вердикт=)? ( ни в коем случае не подгоняю - мои извинения если что). Сам виновник этого события вот (двойной архив) http://rghost.ru/20141331

01.09.2011, 21:41	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	надо посмотреть новый образ автозапуска, если файл был исключен из автозапуска предыдущим скриптом, то совсем его закарантинить отправить в вирлаб, а затем убить. И зачистить стандартными скриптами темпы, ссылки на несуществующие программы и .т.п. ---------- Добавлено в 23:36 ---------- Предыдущее сообщение было написано в 23:33 ---------- т.е. файл %SystemRoot%\SYSWOW64\VRPLDJE.DLLl остался в системе на диске, но он неактивен и безопасен, поскольку исключен из автозапуска. ---------- Добавлено в 23:40 ---------- Предыдущее сообщение было написано в 23:36 ---------- файлик по вашей ссылке, действительно ест ьустановщик Cidox http://www.virustotal.com/file-scan/...dc1-1314894344 ---------- Добавлено в 23:41 ---------- Предыдущее сообщение было написано в 23:40 ---------- DrWeb 5.0.2.03300 2011.09.01 Trojan.Mayachok.1 Kaspersky 9.0.0.837 2011.09.01 Trojan-Dropper.Win32.Cidox.cku NOD32 6427 2011.09.01 a variant of Win32/Kryptik.SFL

01.09.2011, 21:47	#14 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	ок, поскольку антивирусы знают установочный файл, возможно при сканировании они затрут и эту dll, но она сейчас безопасна, просто мусор, и свмостоятельно уже не запустится.

01.09.2011, 22:09	#15 (ссылка)
Spirit2006 Новичок Регистрация: 01.09.2011 Сообщений: 7 Репутация: 0	Еще раз огромное спасибо.=) Буду ждать тогда обновлений что бы само собой исчезло.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
У меня вирус RC=3221225477, прошу помощи.	DimAL	Безопасность	28	27.11.2011 21:44
Снова я))	mobilkot	Железо	10	01.08.2011 14:26
Опять проблемма с вирусом RC=3221225477	Delok_ks	Безопасность	18	18.07.2011 15:09
вирус rc=3221225477	krasnyrayon	Безопасность	14	15.07.2011 21:36
Вирус RC=3221225477	solyarix	Безопасность	1	03.07.2011 16:09
И снова PSP...	EMPORIO	Мобильные устройства	3	18.04.2011 14:32
Просьба помощи проверить Log по причине RC=3221225477	Kuzma	Безопасность	19	21.03.2011 03:05
Обнаружен вирус (rc=3221225477)	Det	Безопасность	10	08.03.2011 20:29
И снова они....	by.	Безопасность	8	10.01.2011 13:38
Вирус RC=3221225477	Vetochka	Безопасность	18	01.05.2010 14:21
И снова о вай фай	Kjane17	Интернет и сети	1	23.09.2009 10:59
Снова про USB	Ujines	Неисправности, настройка	4	08.09.2009 19:46

Ads