-
Junior Member
- Вес репутации
- 61
Диспетчер задач отключен администратором
Добрый день!
1) При нажатии ctrl+alt+del - сообщение, что диспетчер задач отключен администратором.
2) Ни в одном из безопасных режимов система не загружается.
3) При сканировании CureIt и AVPTool находят много инфицированных объектов, пробуют лечить, но после перезагрузки все то же самое.
4) AVZ запустился только с флешки.
Логи приложил, помотрите, пожалуйста. Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\seps\reprogdata\sepsdm.exe');
QuarantineFile('C:\WINDOWS\system32\zh99.exe','');
QuarantineFile('C:\gvci\bin\iis.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\рабочий стол2.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DDD.EXE','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\xp-2a264dd5.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD4.EXE','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD3.EXE','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD2.EXE','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD1.EXE','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD0.EXE','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\WinRAR.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\recycled.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\mail.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\dell.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\Atlas 1.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\12.10__0.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\12.10.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-2A264DDD.EXE','');
QuarantineFile('C:\WINDOWS\system32\drivers\nondevicedrv.sys','');
QuarantineFile('c:\gvci\bin\FwHookDrv.sys','');
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\ruiim.sys','');
QuarantineFile('c:\seps\reprogdata\sepsdm.exe','');
QuarantineFile('C:\WINDOWS\system32\2B96FFE0.EXE','');
QuarantineFile('C:\SEPS\ReprogData\SEPSDM.EXE','');
DeleteFile('C:\WINDOWS\system32\drivers\ruiim.sys');
BC_DeleteSvc('abp470n5');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\12.10.exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\12.10__0.exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\Atlas 1.exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\dell.exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\mail.exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\recycled.exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\WinRAR.exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD0.EXE');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD1.EXE');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD2.EXE');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD3.EXE');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD4.EXE');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\xp-2a264dd5.exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DDD.EXE');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\рабочий стол2.exe');
DeleteFile('C:\WINDOWS\system32\zh99.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 61
Карантин отправлен. Как узнать: получен ли он Вами?
-
Сообщение от
Den_in
получен ли он Вами?
получен
Последний раз редактировалось polword; 21.01.2011 в 14:14.
-
-
KIS 2010=Зловред Virus.Win32.Sality.aa; DrWEB 6.0=Зловред Win32.HLLW.Autoruner.2697 (Win32.Sector.12); VBA32=Зловред Virus.Win32.Sality.baka; BitDefender=Зловред Win32.Sality.OG; NOD32=Зловред Win32/Sality.NAU virus; Avast4=Зловред Win32:Sality
Надо бы так сделать - http://virusinfo.info/showthread.php?t=15927
-
-
Junior Member
- Вес репутации
- 61
-
Выполните рекомендацию от Shu_b. Затем повторите лог virusinfo_syscheck.zip
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 61
To Shu_b:
Я пытался загрузиться с LIVECD DrWeb, до обращения на форум, но никак не хотел стартовать графический режим: то ли ноутбук слабый и просто не дождался то ли LIVECD побился (скачивал на другом PC). Стоит пробовать все заново и какой из способов предпочтительней?
-
Скачайте и запишите LiveCD на чистом ПК. Загрузитесь с него и сделайте полную проверку.
+ при сканировании подключите ваши флэшки!
Последний раз редактировалось миднайт; 21.01.2011 в 15:15.
Причина: флэшки
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 61
OK. Буду пробовать. Всем спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\at las 1.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\de ll.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\ma il.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\re cycled.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\wi nrar.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264ddd.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd0.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd1.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd2.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd3.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd4.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd5.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\ра бочий стол2.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\12 .10.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\12 .10__0.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\windows\\system32\\zh99.exe - Trojan.Win32.FlyStudio.aef ( DrWEB: Trojan.Siggen2.16324, BitDefender: Gen:Variant.EvilEPL.6, AVAST4: Win32:ScramFly [Cryp] )
-