111 ответов в этой теме

[donner]

2userr & borka

Скачал утилиту, переименовал, сменив расширение. Запустилась сразу же, после - попросила перезагрузку. И ничего не изменилось, за исключением того, что пропала картинка с рабочего стола (теперь он серый). Вирус остался и работает.

[mrbelyash]

2userr & borka

Скачал утилиту, переименовал, сменив расширение. Запустилась сразу же, после - попросила перезагрузку. И ничего не изменилось, за исключением того, что пропала картинка с рабочего стола (теперь он серый). Вирус остался и работает.

C:\WINDOWS\system32\bgsvcgen.exe в вирлаб
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)-фиксить

Сообщение было изменено mrbelyash: 25 Декабрь 2009 - 22:50

[donner]

2mrbelyash
Прошу простить бестолкового, но "вирлаб" - это что? Мне прикрепить требуемый файл к сообщению здесь или есть специальное место?

И "фиксить"... чем (хотя бы название программы)? и что произойдет после того, как "пофиксено"? Полное излечение или возможность предпринять какие-то дальнейшие действия?

Зы. Я, к сожалению, не большой спец в лечении компа (всегда полагался на паучка в трее и оутпост).

[Borka]

O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)-фиксить

Пофиксите также:
F2 - REG:system.ini: Shell=

[Borka]

2mrbelyash
"вирлаб" - это что? Мне прикрепить требуемый файл к сообщению здесь или есть специальное место?

Вирлаб - это сюда: http://vms.drweb.com/sendvirus

И "фиксить"... чем (хотя бы название программы)? и что произойдет после того, как "пофиксено"? Полное излечение или возможность предпринять какие-то дальнейшие действия?

Это все в Хайджеке - слева есть место для птицы. Ставите и нажимаете "Fix checked", затем говорите - не восстановилась ли запись заново.

[userr]

2userr & borka
Скачал утилиту, переименовал, сменив расширение. Запустилась сразу же, после - попросила перезагрузку.

снова запустите, после перезагрузки попробуйте войти в безопасный режим там запустить сканер drweb (cureit)

Вирус остался и работает.

из чего это видно? при запуске программ появляется окно вымогателя?

логи спайдера, сканера, cureit в архиве покажите - см. http://forum.drweb.com/index.php?act=annou...p;f=35&id=1 пп. 1,2

[donner]

Файл bgsvcgen.exe отослал в вирлаб.

Пофиксить ничего не могу, т.к. теперь Хайджек проходит процедуру сканирования, но в самом конце, вместе открывающимся в блокноте логом, вываливается какое-то сообщение об ошибке. Маленькое стандартное виндовое окошко. Прочитать не реально, доли секунды висит, и комп уходит в перезагрузку.

из чего это видно? при запуске программ появляется окно вымогателя? - да, появляется это окно.

снова запустите, после перезагрузки попробуйте войти в безопасный режим там запустить сканер drweb (cureit) - запустил, перезагрузил, но безопасный режим не функционирует. На черном фоне белый текст со сведениями об операционке. Это все.

логи спайдера, сканера, cureit в архиве покажите - так не могу же показать. Не запускаются спайдер etc , никаким, даже самым хитрым образом.

[bvas]

donner
А если воспользоваться загрузкой через ERDКомандер + Cureit на флэшке...
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2

[Borka]

Пофиксить ничего не могу, т.к. теперь Хайджек проходит процедуру сканирования, но в самом конце, вместе открывающимся в блокноте логом, вываливается какое-то сообщение об ошибке. Маленькое стандартное виндовое окошко. Прочитать не реально, доли секунды висит, и комп уходит в перезагрузку.

А если выбрать "Do a system scan only" ?
Сделайте еще вот что:
"Мой компьютер" -> "Свойства" -> "Дополнительно" -> "Загрузка и восстановление" -> "Параметры": снимите птицу "Выполнить автоматическую перезагрузку". И выберите "Дамп памяти ядра". Если это БСОД, то, может, увидим, в чем причина...

снова запустите, после перезагрузки попробуйте войти в безопасный режим там запустить сканер drweb (cureit) - запустил, перезагрузил, но безопасный режим не функционирует. На черном фоне белый текст со сведениями об операционке. Это все.

Если КуреИт/сканер хоть как-то запускаются, то сделайте "Быструю" проверку и покажите лог.

Не запускаются спайдер etc , никаким, даже самым хитрым образом.

"Чем мотивирует свой отказ?" (с)

[donner]

donner
А если воспользоваться загрузкой через ERDКомандер + Cureit на флэшке...
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2

Воспользоваться ERD + CureIt - а какой в этом смысл? Ведь прекрасно загружается Dr. Web Live CD. И ничего не находит.

Другое дело, что можно было бы ERD + работающий regedit. Но я понятия не имею в данном случае, какие ключи реестра смотреть, чтобы прибить вирус.

2borka

Хайджек без лога запускается, но не фиксит. Запись появляется вновь.

CureIt не запускается никак. Если через экзешник, то "пришлите СМС". А если через бат файл, то вообще ничего не происходит.

[Rezikler]

Такая же проблема появилась, не знаю как можно было подцепить... но вот вылезло окно это и никак не убрать, интернет заблокирован, любые попытки включить или выключить службы пресекаются, при попытке запустить любое приложение запуск приложения блокируется и происходит сброс разрешения на самое низкое. Вчера ночью автоматически обновился и эта хреновина на время пропала, однако при попытке набрать в гугле (пользуясь мозиллой) слова "вирус" "смс" "вылечить" браузер закрывался а через какое то время снова появилось окно.. антивирус нод был обновлен последними обновлениями (обновил за 2 часа до того как активизировался вирус) запускается msconfig но попытки убрать из автозагрузки не решили проблему. Regedit заблокирован. Система несколько раз крашилась с синим экраном но что за ошибка я не записал и не помню, но раньше всё работало стабильно на протяжении 3 лет.

[bvas]

donner

CureIt не запускается никак. Если через экзешник, то "пришлите СМС". А если через бат файл, то вообще ничего не происходит

загрузившись с ERD предварит воткнув флэху с Курилкой,Вы сможите её запустить и сделать логи Курилки
Также сможете Экспортировать весь реестр знающим людям на анализ и через него править реестр где скажут..
Спросите мнение Ворки, я лично пользуюсь и помогает...

[donner]

происходит сброс разрешения на самое низкое - да, я забыл про это упомянуть. У меня то же самое.


Из вирлаба пришел ответ "файл bgsvcgen.exe входит в число доверенных, он безопасен". А чего делать-то теперь? У мну комп - рабочая машина, там сотня прог, и все со своими настройками. Систему начисто переустанавливать - это вообще не вариант. Да и бессмысленно это, потому как никакой гарантии, что я через день-другой опять то же самое не подцеплю. Dr. Web же его не видит, этот вирус.

2bvas
Понятно, спасибо. Но это уже целая эпопея, так, если более легкого решения не появится, то завтра займусь.

[bvas]

donner

Воспользоваться ERD + CureIt - а какой в этом смысл?

Сделать Лог CureIt он сохраниться в Диске С "что будет связано с папкой ЕРДа" запускать с ехе ( желательно скач на флэху с чистого компа)
Т.к вчера раз запустился на зараженном компе,так CureIt заразился сразу же...(((

[bvas]

donner

Понятно, спасибо. Но это уже целая эпопея, так, если более легкого решения не появится, то завтра займусь.

Более легкий способ это методом тыка искать неизвестные не понятные файлы с датой и временем = примерно времени заражения компа...
Но это на удачу...
Залесть в реестр как описано в тех ссылках и посмотреть параметры
1. Найти ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Shell"="Explorer.exe"

2. Если в ключе прописано что-то другое, то замените на указаное выше.


3.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"

Он должен иметь такой вид "Userinit"="С:\WINDOWS\system32\userinit.exe," . После запятой ничего не должно быть.

4. Если там прописан еще какой-нибудь путь, то нужно его обрезать до выше указанного.
в тех ссылках все написано читайте внимательно!!!!

[bvas]

Rezikler

запускается msconfig но попытки убрать из автозагрузки не решили проблему.

А если отключить всё в автозагрузке.....????

[Rezikler]

Rezikler

запускается msconfig но попытки убрать из автозагрузки не решили проблему.

А если отключить всё в автозагрузке.....????

аналогично, проблема все еще остается не решенной...

[bvas]

Rezikler
Сочетание клавишь Ctrl+Alt+Del [ sensored ]? Win+D??? не работает???

[domini]

Борьба с вирусом-вымогателем, требующим СМС для активации iLite Net Acceletrator ( вполне возможно и с Downloader поможет – окно одинаковое только названия программ разные – у меня iLite Net Acceletrator (скриншон не прилагаю – и так ясно).

Просмотрел почти все ссылки на данную проблему и ничего путного не нашел:
Предлагают запустить самые разные программы, но при запуске любого exe-шника вылетает окно блокирующее вид экрана, ну и программы не открываются: ProcessExplorer,
CCleaner, Reg Organizer, CureIt, launch (DrWeb), а при запуске AVZ4 – вообще идет на перезагрузку – естественно, напрашивается мысль грузиться с другого носителя.
Команда msconfig при переходе на диагностический режим, где отключены все службы, кроме некоторых , вся автозагрузка – тоже не помогает.
В общем, не дает этот вирус себя обнаружить – только переустановка (дня три назад ) помогает – но есть еще люди, которые подцепили эту заразу – да и время сегодня было на поиск избавления от него (правда вручную), так вот ниже расписал как можно вылечиться быстро и почти качественно:

1 способ:
1. Желательно загрузиться с загрузочного CD, типа Alkid Live CD (образ можно найти в торренте http://torrents.ru/)
2. После загрузки запустить утилиту Hijack и исправить (fix) следующую ошибку:
Текст ,конечно ,может отличаться началом (ниже написана одна строка):
F2: Userinit C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\sdra64.exe
Второй запускающийся файл sdra64.exe – и есть, то что грузиться под winlogon.
3. Также Удалите этот файл по указанному пути. После перезагрузки – все будет нормально, кроме некоторых настроек в реестре. Проверьте исправьте. Лучше утилитой восстановления настроек XP plstfix.exe (DrWeb)/
2 способ:
Не знаю , на других зараженных компах он может называтся также или по другому, но информация по нему следующая: объем 95 Кб, Описание:zPLnzEL, производитель: xaxTFkM, версия файла: 217.74.159.57, дата: 15.04.2008

Короче, можно сразу найти его, пока операционка дает это делать. И удалить – не знаю даст или не даст, потому что удалял я его при загрузке с CD.

[domini]

Кстати, bvas правильно написал, где собака зарыта, но при активности этого вируса ни какими программами в реестр невозможно зайти и исправить тоже невозможно. Даже загрузившись с CD (в Alkid Live CD есть возможность зайти вреестр под профилем пользователя конкретной машины), выдается сообщение, что администратором запрещено редактировать реестр. Так что попробуйте вышеуказанный метод, но в Вашем случае может быть другой файл.