Словил вирус. Просят 400 р на номер 8-911-027-07-92. Комп Нетбук. Windows 7 Максимальная.
На зараженной системе загрузиться нельзя.
AVZ запускал c LiveCD с флешки.
Логи привожу.
Словил вирус. Просят 400 р на номер 8-911-027-07-92. Комп Нетбук. Windows 7 Максимальная.
На зараженной системе загрузиться нельзя.
AVZ запускал c LiveCD с флешки.
Логи привожу.
Здравствуйте.
Логи с LiveCD вряд ли помогут.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
Затем сообщите :Код:<диск с заблокированой ОС>:\WINDOWS\System32\config
В ключе
значение параметраКод:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
и значение параметраКод:Userinit
Код:Shell
значение параметра
Код:Userinit=C:\ProgramData\22CC6C32.exe,C:\Window s\apppatch\agenucw.dat,
Shell=C:\ProgramData\22CC6C32.exe
Спасибо pump и PavelA.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Windows\apppatch\agenucw.dat',''); QuarantineFile('C:\ProgramData\22CC6C32.exe',''); DeleteFile('C:\ProgramData\22CC6C32.exe'); DeleteFile('C:\Windows\apppatch\agenucw.dat'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Попробуйте загрузиться на зараженной системе.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
В папке appPatch есть файл ltjsglq.dat. Время изменения совпадает со временем заражения.
Хм. Скрипт выполнил.
Пытаюсь загрузиться. Вот уже 15 минут грузится после захода в учетку.
Систему я похоже убил восстановлением.
Карантин высылаю.
А странного файла уже нет.
При загрузке карантина выдает ошибку: Уже такой файл есть
Через LiveCD
В ключе
Попробуйте восстановить значение этого параметраКод:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogonна explorer.exeКод:Shell
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Систему восстановил. Откатом на месяц.
Сделал логи. Гляньте пожалуйста.
Карантин тоже выслал.
Последний раз редактировалось Ilgr; 02.05.2011 в 23:31.
Я так о себе напомнить.
Все чисто?
Да, все нормально.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Ilgr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.