Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   BSOD (причина vtiojzxjnkb.sys) (http://forum.oszone.net/showthread.php?t=134462)

pinkored 11-03-2009 21:09 1060943
Вложений: 1
Был синий экран. Сейчас пропал. Выкладываю логи, как вы написали.
Проверьте пжта)

iskander-k 11-03-2009 21:32 1060973
Повторите логи.

Pili 11-03-2009 21:41 1060982
pinkored, архивы битые, если и у вас не распаковываются, процедуру формирования логов придется повторить заново по правилам.

pinkored 12-03-2009 15:32 1061749
Вложений: 3
ОЙ...ну я и *******

Pili 12-03-2009 15:44 1061772
pinkored, мда... а теперь логи не те, AVZ сам формирует архивы zip, вложите в сообщение zip файлы из каталога AVZ\LOG ), всего должно быть: virusinfo_syscure.zip, virusinfo_syscheck.zip и сделайте новый лог hijackthis
Зловреды у вас видимо флешечные, поэтому предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows.

pinkored 14-03-2009 13:49 1063516
Вложений: 1
Надеюсь в этот раз... норм будет

thyrex 14-03-2009 15:00 1063575
Проверьте файл c:\Iuk.exe на Virustotal
Результат сообщите здесь
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wuauserv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('wuauserv.exe');
 DeleteService('synsend');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Если карантин не окажется пустым, отправьте его на newvirus@kaspersky.com, указав в теле пісьма пароль на архів virus

Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,wuauserv.exe
O1 - Hosts: ::1 localhost
Сделайте повторные логи. И не забудьте сообщить ответ от ВирусТотал

Котяра 14-03-2009 19:21 1063846
pinkored, пофиксите:
Код:
O4 - HKCU\..\Policies\Explorer\Run: [Msn] c:\rY32f.exe
O4 - HKCU\..\Policies\Explorer\Run: [MsnHost] c:\rY32f.exe
O4 - HKCU\..\Policies\Explorer\Run: [MsnLoad] c:\rY32f.exe
O4 - HKCU\..\Policies\Explorer\Run: [MsnConvert] c:\rY32f.exe
O4 - HKCU\..\Policies\Explorer\Run: [MsnMessendger] c:\rY32f.exe

pinkored 15-03-2009 12:49 1064407
Извините...а что значит пофиксить??...и как это сделать?

Котяра 15-03-2009 14:50 1064490
pinkored,
Цитата:
5.3. Если вас попросили "Пофиксить в HijackThis", запустите hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки только напротив указанных строк и нажмите кнопку "Fix Checked".
Сделайте это с указанными мною строчками.

Котяра 16-03-2009 13:34 1065398
pinkored, вы пофиксили строчки?
Теперь выполните скрипт в AVZ:
Код:
begin
 // Добавление указанного файла в карантин
 QuarantineFile('C:\rY32f.exe', '');
 // Удаление файла
 DeleteFile('C:\rY32f.exe');
 // Создание архива с содержимым карантина за текущий день
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
end.
Файл quarantine.zip из папки c AVZ отправьте на e-mail koshkin@rbcmail.ru.
Цитата:
5.4. Если вас попросили выполнить скрипт в AVZ, выделите мышкой скрипт который требуется выполнить, нажмите CTRL+C, в меню AVZ выберите Файл -> Выполнить скрипт, и вставьте скрипт, используя CTRL+V, нажмите кнопку "Запустить".
Кстати, вы выполнили указания thyrex?

pinkored 19-03-2009 21:38 1068732
Вложений: 1
ой я извиняюсь что так долго...вот высылаю пока данные до этого сообщения...
тот файл...пропал на диске С нету...
теперь при попытке включения с диска проги...и того же самого с флешки...появляется синий экран.
ошибку еще не прописала
попозже напишу...

thyrex 19-03-2009 22:12 1068766
Выполните скрипт в AVZ, предварительно выгрузив Ваш антивирус. Включите брандмауэр Windows.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\mFs.exe','');
 DeleteFile('c:\mFs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Если карантин не окажется пустым, отправьте его на newvirus@kaspersky.com (указав в теле письма пароль на архив virus)
и на thyrex2002@tut.by

Пофиксите в HiJack
Код:
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Msn] c:\C5pSpTlI.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Msn] c:\C5pSpTlI.exe (User 'Default user')
Сделайте повторные логи.

pinkored 20-03-2009 19:27 1069619
а какой пароль в файле quarantine.zip???
я чето не знаю...совсем

thyrex 20-03-2009 20:09 1069653
Цитата:
Цитата thyrex
(указав в теле письма пароль на архив virus)
»
Должен быть... Архив пуст. Где логи?

pinkored 20-03-2009 21:23 1069721
Вложений: 2
ой что-то я всё равно не поняла с карантином что

thyrex 20-03-2009 22:12 1069788
Очередная попытка
Выполните скрипт в AVZ, предварительно выгрузив Ваш антивирус. Включите брандмауэр Windows.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\e3jbiktc.exe');
QuarantineFile('c:\e3jbiktc.exe','');
DeleteFile('c:\e3jbiktc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пофиксите в HiJack
Код:
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MsnHost] c:\c3wpglGK.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MsnHost] c:\c3wpglGK.exe (User 'Default user')
Если карантин не окажется пустым, отправьте quarantine.zip на thyrex2002@tut.by (не выкладывайте его в топике)
Повторите логи

pinkored 21-03-2009 20:12 1070552
Вложений: 1
вот.

pinkored 21-03-2009 20:28 1070566
я заметила одну фигню...вот вы говорили пофиксить...
я фиксю...
а потом опять появляется фигня какаянить НОВАЯ типа cfr6sd или r7sdk3
что это такое???

thyrex 21-03-2009 21:27 1070613
Заметил давно. Но, по крайней мере, теперь этой гадости в процессах нет.
Обновление антивируса у Вас стоит на автомате. Вы выгружаете антивирус перед выполнением скрипта?
Выполните скрипт в AVZ, предварительно выгрузив Ваш антивирус. Включите брандмауэр Windows.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\QKWVH60.exe','');
 DeleteFile('c:\QKWVH60.exe');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'MsnHost');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'MsnLoad');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'Msn');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('c:\QKWVH60.exe');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Если карантин не окажется пустым, отправьте quarantine.zip на thyrex2002@tut.by (не выкладывайте его в топике)
Повторите логи

Pili 23-03-2009 08:50 1071677
Автозапуск со съемных носителей выключен? Брандмауэр windows включен? Если нет, то лечится можно очень долго...

pinkored 01-04-2009 00:40 1080660
Вложений: 1
Автозапуск со съемных носителей выключен? Брандмауэр windows включен?
Да,да...
теперь какая-то другая фигня появляется
Касперский всё время отслеживает...
но главную причину не удаляет...
31.03.2009 21:56:56 Удалено троянская программа Packed.JS.Agent.ac C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OYAI4V4C\s_t_t[6].htm

Content.IE5
в этой папке есть файл
index.dat
там было куча ссылок на порносайты...
файл аж весил 8 метров
потом я его удалила с помощью AVZ - по другому не удалялся...
а потом он опять появился...
и размер постепенно увеличивается

еще на папке С файлы тоже странные
их Каспер не видит...
там к ним есть txt файлы в которых написано вот что
qqq
123456
bin
get calc.exe c:\DZF.exe
bye

Pili 01-04-2009 08:55 1080808
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('msvdx86');
 SetServiceStart('msvdx86', 4);
 QuarantineFile('c:\bvblM.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\msvdx86.aqmgu','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\msvdx86.aqmgu');
 DeleteFile('c:\bvblM.exe');
 DelBHO('{D7515C61-A66C-4319-A0E0-D416CB8059E3}');
 DeleteService('msvdx86');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('msvdx86');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.
Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите "Настройки и твики браузера", выставьте степень опасности "Все проблемы", исправьте найденные проблемы.

По логам у вас есть Kaspersky Anti-Virus Personal 5.0 и Symantec, рекомендую удалить через установку/удаление программ и доп. утилиты KAVremover9.zip, Norton Removal Tool
Дополнительно можно удалить скриптом
Код:
begin
 DeleteFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20040813.178\symidsco.sys');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys');
 DeleteService('ids00026');
 DeleteService('SYMIDSCO');
ExecuteSysClean;
end.
Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Повторите логи AVZ и HiJackThis


Время: 13:53.

Время: 13:53.
© OSzone.net 2001-