-
Junior Member
- Вес репутации
- 48
Поймал вирус
Добрый день! поймал вирус который очень сильно тормозит компьютер не дает работать с программами они не запускаются или очень долго грузятся, также вирус изменил название кнопки "Пуск" на "Серый" и "Стасян". высылаю все логи
Логи делал в безопасном режиме так как в нормальном не удается что либо запустить
Последний раз редактировалось hunter25; 11.05.2011 в 00:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - (no file)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1804', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1201', 3);
DelCLSID('{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}');
QuarantineFile('C:\windows\system32\NVUKZ.exe','');
DelCLSID('{5460C4DF-B266-909E-CB58-E32B79832EB2}');
QuarantineFile('C:\windows\cfdrive32.exe','');
QuarantineFile('C:\windows\InstallDir\Server.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4624521414-2906892093-929820894-4430\wingn.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4624521414-2906892093-929820894-4430\wingn.exe');
DeleteFile('C:\windows\InstallDir\Server.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HKLM');
DeleteFile('C:\windows\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\windows\system32\NVUKZ.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Сделайте новые логи (в обычном режиме)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
загрузился в обычном режиме, вроде стало полегче загружаются программы, сделал логи, прикрепляю. Но осталась пока еще проблеме с названием кнопки "пуск" там написано "Серый" как это убрать? и когда заходишь в безопасном режиме вместо Пуск написано "Стасяня"
-
Junior Member
- Вес репутации
- 48
в карантине не было ничего, и еще проблема после не продолжительной работы виснет, и в диспетчере задач висит "SysFader - Не отвечает", снять его не дает
-
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
скрипт выполнил, лог прикладываю.
еще такой вопрос, все по поводу названия кнопки пуск, можно ли заменить файл explorer.exe заменить на такой же только с другого компьютера??
P.S. Заменил explorer.exe со здорового компа пока все работает, проверьте последний лог, если все норм, то всем спасибо
Последний раз редактировалось hunter25; 11.05.2011 в 20:39.
-
Чисто.
Рекомендуется установить SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
Bratez
Чисто.
Рекомендуется установить SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).
Спасибо всем кто помогал. Все работает!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\марина\\мои документы\\downloads\\film_slujebnyiy_roman._nashe _vremya.rar.exe - Hoax.Win32.ArchSMS.hjua ( DrWEB: Trojan.SMSSend.453, BitDefender: Trojan.Generic.6150751, AVAST4: Win32:FakeInst-AO [Trj] )
- c:\\windows\\installdir\\server.exe - Trojan.Win32.Sasfis.bisd ( DrWEB: Trojan.DownLoader5.2000, BitDefender: Trojan.Generic.KDV.221568, NOD32: Win32/Remtasu.V trojan, AVAST4: Win32:KeyLogger-AUH [Spy] )
-