-
Junior Member
- Вес репутации
- 51
Help
Здраствуйте! Ув. форумчани, нужна ваша помощь, скачал что-то с и-нэта, вышло так, что в нём был вирус, он блокирует диспечер задач,реестр, удалил файл для команды "gpedit.msc"; при загрузке avz, сразуже(мгновенно) вырубает процесс avz, и блокирует все программы(даже блокноты и некоренные файлы)но если не пытатся сражатся с ним, нечего не блокирует кроме реестра и диспечера задач, но я переименовал avz, восстановление системы помогло открыть диспечер задач и реестр буквально на пару секунд, но при включение avz guard сновоже блокирует все программы, с диспечера поудалял процессы, но не помогает, ОС переустанавливал, странно, но вирус не пропадает...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 51
К сожелению, этот вирус блокирует сайты каспера,др веба да и вообще, все софт порталы с именами avz\dr.web cureit, ещё заметил, он создает в папке ОС(windows) в папке temp, очень много папок с почти аналоговыми именами( в конце цыфры меняются) создает до такой степени много папок, что весь диск загружает до 100% и все программы начинают глючить, а даже и вырубатся, но создаёт он не только в папке "temp" при перезагрузке компьютера, он выбирает каждый раз другое место для этих пакостей, а когда начинаю удалять эти папки, он в них кидает файлики от программ, к примеру авз побил, Довнлоад мастер,проигрыватели и т.д; А также блокирует или незнаю что он делает с безопасным режимом, что в него нельзя зайти...В boot.ini вродебы всё нормально...
-
Хрустальный шар перегорел...
-
-
Junior Member
- Вес репутации
- 51
Извините, но что это - "Хрустальный шар" ? Насколько я знаю, это не как не связано с железом...
Добавлено через 8 минут
Извините, но что это - "Хрустальный шар" ? Насколько я знаю, это не как не связано с железом...
Последний раз редактировалось nozl; 04.05.2010 в 08:51.
Причина: Добавлено
-
Хрустальный шар aka палантир - магческий инструмент, позволяющий осуществить удалённый доступ или удалённую диагностику без использования штатных технических средств. Перегорел он у меня. Не вижу вашего компьютера.
-
-
Junior Member
- Вес репутации
- 51
В целом что посоветуете делать ?
-
Делайте логи этой версией AVZ
-
-
Junior Member
- Вес репутации
- 51
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
QuarantineFile('C:\WINDOWS.0\svchost.com','');
QuarantineFile('C:\WINDOWS\svchost.com','');
TerminateProcessByName('c:\windows.0\temp\winyhyrsx.exe');
TerminateProcessByName('c:\windows.0\temp\w89f36.exe');
TerminateProcessByName('c:\windows.0\temp\nuos.exe');
QuarantineFile('C:\WINDOWS.0\system32\wudfhost.exe','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\EIO.sys','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\fkqfnq.sys','');
DeleteService('abp470n5');
QuarantineFile('c:\windows.0\temp\winyhyrsx.exe','');
QuarantineFile('c:\windows.0\temp\w89f36.exe','');
QuarantineFile('c:\windows.0\temp\nuos.exe','');
DeleteFile('c:\windows.0\temp\w89f36.exe');
DeleteFile('c:\windows.0\temp\winyhyrsx.exe');
DeleteFile('C:\WINDOWS.0\system32\drivers\fkqfnq.sys');
DeleteFile('C:\WINDOWS\svchost.com');
DeleteFile('C:\WINDOWS.0\svchost.com');
DeleteFile('c:\windows.0\temp\nuos.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Дополнительно к совету polword
Перед созданием повторных логов пролечитесь от файловых вирусов http://virusinfo.info/showpost.php?p=306441&postcount=2
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
thyrex, к сожелению, уменя нет возможности сейчас выполнить ваши требования, т.к. сидиром неработает... (
polward, всё сделал, как вы и сказали....
-
Сообщение от
nozl
уменя нет возможности сейчас выполнить ваши требования, т.к. сидиром неработает... (
Вариант 1. Искать рабочий CD-ROM
Вариант 2. Подключить винчестер к здоровому компьютеру с антивирусом и лечиться
В противном случае все старания будут напрасными
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
качал версию 5 0 2 и 5 0 3 по вашей ссылке, доходит до 99% дальше не как, файлообменники с именами др веба блокирует вирус...
-
Сообщение от
nozl
файлообменники с именами др веба блокирует вирус...
Скачивать и записывать образ на болванку нужно на чистой от вирусов машине
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Вообщем пробил ливсд, просканировал, сделал логи, карантин прислал.
-
Или лог старый, или лечение неудачно
Установите верную системную дату (или замените батарейку)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.0\temp\whjt.exe');
TerminateProcessByName('c:\windows.0\svchost.exe');
SetServiceStart('abp470n5', 4);
DeleteService('abp470n5');
SetServiceStart('PowerManager', 4);
DeleteService('PowerManager');
TerminateProcessByName('c:\windows.0\svchost.exe');
QuarantineFile('c:\windows.0\svchost.exe','');
DeleteFile('c:\windows.0\svchost.exe');
DeleteFile('C:\WINDOWS.0\system32\drivers\fkqfnq.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
-
-
Junior Member
- Вес репутации
- 51
карантин прислал.
shapel, ссылка нерабочая....
-
Сообщение от
nozl
shapel, ссылка нерабочая....
Рабочая... Скачайте утилиту и запустите.
Последний раз редактировалось Шапельский Александр; 27.07.2010 в 11:49.
-