-
Junior Member
- Вес репутации
- 49
не запускается AVZ, HijackThis, зависает проводник.
Доброго времени суток!
Очень прошу помощи.
система- Windows 7 антивирус стоял McAfee
суть проблемы: при попытке открыть/удалить папку, открыть диск или "мой компьютер" стандартными средствами винды, зависает проводник, пишет следующее: "прекращена работа программы проводник" пропадает панель задач, и все с рабочего стола, из списка процессов иcчезает, соответсвенно, explorer.exe.
после-спасает только перезагрузка.
McAfee проблем не выявил, скачал AVZ (предварительно удалив McAfee ) и обнаружил что он не запускается, так же как и HijackThis. (при попытке запустить - появляется окно меньше чем на секунду, затем пропадет)
в безопасном режиме проверил Dr.Web CureIt!, нашлось три трояна, но проблема осталась.
(Лог:
b96d837d.exe C:\Windows\system32 Trojan.MulDrop.64715 Удален.
dxbvtfAv”fFvЮнлv)Knt.exe C:\Windows\system32 Trojan.MulDrop1.52532 Удален.
plugin-pdf.php C:\Users\SUPERP~1\AppData\Local\Temp\plugtmp-2 Exploit.PDF.1596 Удален.)
По понятным причинам логи AVZ и HijackThis приложить не могу.
Заранее благодарю!
Последний раз редактировалось Kiri4; 02.12.2010 в 22:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Заходим в редактор реестра и ищем -
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
- Содержимое этого параметра выписываем сюда.
-
-
Junior Member
- Вес репутации
- 49
c:\windows\system32\userinit.exe,c:\windows\system 32\b895d662.exe,c:\windows\system32\disgoaf.exe
-
c:\windows\system32\b895d662.exe, c:\windows\system32\disgoaf.exe
Вот эту парочку поищите (вероятно, имеют атрибут скрытый), запакуйте в zip-архив с паролем virus и пришлите в качестве карантина по красной ссылке вверху темы. У себя эти файлы удалите.
Исправьте в реестре значение параметра Userinit.
Должно быть так:
c:\windows\system32\userinit.exe,
(включая запятую).
Перезагрузите компьютер и попробуйте сделать логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
c:\windows\system 32\b895d662.exe обнаружить не удалось, но вот его товарища c:\windows\system32\disgoaf.exe обнаружил, в карантин скинул, удалил его (не без удовольствия) в реестре значение ключа изменил, перезагрузил, все заработало!!!
проблемы ушли, все работает хорошо, проводник не виснет ничего не тупит.
логи AVZ & HJT прикладываю
Огромное спасибо
-
Что такое диск G: ?
Пофиксите в HijackThis:
Код:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Windows\system32\disgoaf.exe,
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Windows\system32\disgoaf.exe');
DeleteFileMask('C:\Windows\Temp', '*.*',true);
ExecuteSysClean;
ExecuteRepair(20);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Диск G -это флешка, запускал с нее avz
скрипт выполнил, HJT пофиксил,
вот новые логи. (не совсем правда понял - п. 2 и 3 диагностика - это где )
-
Сообщение от
Kiri4
не совсем правда понял - п. 2 и 3 диагностика - это где
Это только лог virusinfo_syscheck.zip и лог HijackThis
Знакомьтесь - правила
-
-
Сообщение от
Kiri4
вот новые логи.
Нету! Забыли прикрепить?
Пришлите содержимое карантина AVZ согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=92860).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
действительно, не приложил-) запутался немного, утро субботы выдалось непростым, прошу прощенья -)))
теперь вроде приложил., карантин тоже вроде отправил.
-
Карантина не вижу, только вчерашний disgoaf.
В карантине AVZ должно быть вот это хозяйство:
>>>
G:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Файл успешно помещен в карантин (G:\autorun.inf)
>>>
G:\Open.exe ЭПС: подозрение на скрытый автозапуск G:\autorun.inf [Autorun\Open]
Файл успешно помещен в карантин (G:\Open.exe)
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Добрый день ! извините, если запутал Вас
первый раз запускал AVZ с флешки (/G) т.к. перенести на комп ее не получалось. т.е. первые логи сделаны с авз, запущенного с флешки, вторые - уже непосредственно с компа.
поэтому и получилось два разных карантина.
первый карантин с этим хозяйством
сейчас выслал
сюда же http://virusinfo.info/upload_virus.php?tid=92860).
-
Хозяйство, как выяснилось, зловредное!
Автозапуск этой флэшки приведет к заражению компьютера!
Сделаем так:
1. Выключаем компьютер.
2. Вставляем флэшку.
3. Запускаем компьютер, к флэшке не обращаемся!
4. Выполняем скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('G:\autorun.inf');
DeleteFile('G:\Open.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
5. После перезагрузки делаем новый лог virusinfo_syscheck с подключенной флэшкой.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Все сделал, как сказали. virusinfo_syscheck во вложении.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Спасибо, люди добрые =)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- \\disgoaf.exe - Backdoor.Win32.Shiz.aoz ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.5199264, AVAST4: Win32:Malware-gen )
- g:\\autorun.inf - Trojan.Win32.AutoRun.aqv ( AVAST4: INF:AutoRun-AO [Wrm] )
- g:\\open.exe - P2P-Worm.Win32.Palevo.awen ( DrWEB: Trojan.Siggen2.2516, BitDefender: Trojan.Generic.KDV.313352, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
-