Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Вирус блокирует Windows. (заявка № 15903)

  1. #1
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33

    Exclamation Вирус блокирует Windows.

    31 декабря у меня выскочила весьма забавная табличка. Дескать, у вас установлена нелицензионная копия windows и т.д. В инструкции по получению кода необходимо переслать деньги на счет в Яндекс.деньги что сразу навело меня на мысль о вирусе.
    Сообщение выскакивало сразу при входе в windows и выглядело приблизительно так:
    Компьютер заблокирован.
    При проверке подлинности Windows, было обнаружено, что на вашем компьютере установлено нелицензионное программное обеспечение. Для дальнейшей работы необходимо ввести код активации, указанный на коробке с диском или получить новый код активации, следуя инструкции.
    Все это оформлено, что называется, "под microsoft" всеми силами, но всё равно в глаза бросается
    При попытке зайти в безопасном режиме компьютер просто перезагружался, ничего не выдавая.
    Для того, чтобы хоть что-то сделать я установил другую копию windows. Затем проверил полностью весь компьютер на вирусы. Dr. Web нашел несколько инфицированных файлов и удалил их.
    После чего я вновь попробовал зайти в старую копию windows, но и на этот раз мне не удалось этого сделать. Сообщение "Компьютер заблокирован" больше не выскакивает и windows загружается. Но при загрузке появляется заставка (фон) и больше ничего Т.е. ни рабочего стола (ярлыков), ни пуск`а. При этом диспетчер задач работает, но больше никакие горячие клавишы не срабатывают.
    P.S. Windows лицензионный. Все обновления скачаны и установлены. Антивирсная программа: Symantec.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    После чего начались проблемы? Может после посещения какого-нибудь сайта, установки новой программы, запуска подозрительного файла?

  4. #3
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33
    В этот день было много всего. Сейчас уже начинаю подозревать все что угодно. Посещал разные сайты, скачал пару программ, затем играл в Warcraft на официальном сервере. Проблема началась как раз в момент игры. Игра свернулась и через секунду выскочила эта табличка, которую уже ничем не спихнуть.

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Дайте не активную ссылку на официальный сервер Warcraft. Может на каком-то сайте браузер себя странно вел (зависал, закрывался и т.д.)?

  6. #5
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33
    На официальный сервер Warcraft зайти можно только имея установленную игру (по крайней мере я так захожу, может чего то не так описал....). Ни на каком сайте браузер себя странно не вел. Правда, Dr. Web в числе инфицированных файлов указал на скачанную программу для японских кроссвордов, которую я, естественно, удалил.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Maxim Посмотреть сообщение
    Дайте не активную ссылку на официальный сервер Warcraft. Может на каком-то сайте браузер себя странно вел (зависал, закрывался и т.д.)?
    Мой анализатор не находит прямого аналога по тексту сообщения. Тем не менее принцип работы и лечения понятны - эта зараза пости наверняка заменяет ключик, запускающий Explorer. То, что диспетчер задач запускается по трем кнопкам, это подтверждает - оттуда можно запустить AVZ и далее выполнить восстановление системы (Файл\Восстановление системы) - и том отметить скрипты 1,4,5,6,7,8,9,11,13,16,17 (можно скрипт для этого написать - это несложно, если нужно - напишу), нажать кнопку выполнения и затем перезагрузиться. В теории должно помочь ... Вот описание аналогичного случая: http://www.z-oleg.com/secur/advice/adv1103.php

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Олег, почему тогда в логе AVZ ни слова о блокировках?

  9. #8
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    эта зараза пости наверняка заменяет ключик, запускающий Explorer.
    Что Вы имеете ввиду под "ключиком", ещё и запускающим Explorer? Тогда как эта зараза не давала даже зайти в windows.
    Восстановление системы выполнил только что. В результате загрузился рабочий стол (без фона правда, но я так понимаю, что это не важно) и вроде бы все работает кроме Internet Explorer`а. Когда я ввожу в адресную строку что-либо (адрес вашего сайта в данном случае) и потом нажимаю enter у меня начинает открываться ещё одно окно explorer`а и всё повисает (окна внутри остаются пустыми).
    P.S. Пишу это сообщение со второй (после установленной) ОС.
    Последний раз редактировалось peculiar; 02.01.2008 в 23:35.

  10. #9
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33
    И ещё достаточно часто на старом Windows`е прерывается доступ в интернет (при этом на новом все работает). Что с этим делать?

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от peculiar Посмотреть сообщение
    Что Вы имеете ввиду под "ключиком", ещё и запускающим Explorer? Тогда как эта зараза не давала даже зайти в windows.
    Восстановление системы выполнил только что. В результате загрузился рабочий стол (без фона правда, но я так понимаю, что это не важно) и вроде бы все работает кроме Internet Explorer`а. Когда я ввожу в адресную строку что-либо (адрес вашего сайта в данном случае) и потом нажимаю enter у меня начинает открываться ещё одно окно explorer`а и всё повисает (окна внутри остаются пустыми).
    P.S. Пишу это сообщение со второй (после установленной) ОС.
    В реестре есть ряд ключей, отвечающих за загрузку Eplorer - их зловред и портит. Раз помогло восстановление AVZ, то это уже полдела. Теперь следует сделать вот что:
    1. Загрузиться на пораженном ПК и повторить логи, посмотрим, может, что-то в них изменилось. Перед снятием логов обязательно запустить IE
    2. Следует поискать папку Backup в каталоге AVZ. Если таковая обнаружится, то ее следует сжать чем угодно (ZIP, RAR) и прицепить сюда - это старые значения ключей реестра, забекапленные AVZ в ходе правки - может быть, что-то там интересное найдется
    3. AVZ, меню "Файл\Мастер поиска и устранения проблем". Следует в нем:
    3.1. Поставить степень опасности "Все проблемы" и запустить поиск для категории "Системные проблемы". Все найденное пофиксить ...
    3.2 данную операцию повторить для категории "Настройки и твики браузера" - все найденное следует пометить и пофиксить.

  12. #11
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33
    1. Как прикрепить лог к сообщению? (извините, но никак не могу сообразить)
    2. Отослал zip-файл.
    3. Сделал полностью. Во втором пункте что-то понаходило, все пофиксил, как и написали.

  13. #12
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33
    Разобрался Лог прикрепил.
    Вложения Вложения

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от peculiar Посмотреть сообщение
    Разобрался Лог прикрепил.
    Я советую выполнить скрипт и прислать содержимое карантина согласно правилам:
    Код:
    begin
     QuarantineFile('C:\Program Files\Octoshape Streaming Services\Евгений\OctoshapeClient.exe','');
     QuarantineFile('C:\WINDOWS\system32\IntEdReg.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\PRTdlink.dll','');
    end.
    Не совсем ясно, что это за OctoshapeClient такой ? Еще момент - WinPcap установлен для каких-то задач ? (C:\Program Files\WinPcap\). Если он не нужен, то его стоит деинсталлировать.

  15. #14
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33
    OctoshapeClient это помойму что-то связанное с драйвером или программой для нормальной работы видеокарты (может конечно и путаю что-то).
    Winpcap не знаю что такое, попробую удалить.
    Код который Вы написали выполнить - выполнил. Выдало следующие:

    Файл успешно помещен в карантин (C:\Program Files\Octoshape Streaming Services\Евгений\OctoshapeClient.exe)
    Выполнен карантин файла C:\Program Files\Octoshape Streaming Services\Евгений\OctoshapeClient.exe
    Файл успешно помещен в карантин (C:\WINDOWS\system32\IntEdReg.exe)
    Выполнен карантин файла C:\WINDOWS\system32\intedreg.exe
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\svchost.exe)
    Карантин с использованием прямого чтения - ошибка
    Файл успешно помещен в карантин (C:\WINDOWS\system32\PRTdlink.dll)
    Выполнен карантин файла C:\WINDOWS\system32\PRTdlink.dll

    Добавлено через 8 минут

    Winpcap удалил. Что это было так и не понял Все удалилось без проблем, но на проблему с Explorer`ом это никак не повлияло.
    Последний раз редактировалось peculiar; 03.01.2008 в 22:05. Причина: Добавлено

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    OctoshapeClient - это какая-то сетевая программа, судя по имени файла - это P2P медиасервер. Если таковой не устанавливался спечисльно, то его следует деиснсталлировать

  17. #16
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    OctoshapeClient - это какая-то сетевая программа, судя по имени файла - это P2P медиасервер. Если таковой не устанавливался спечисльно, то его следует деиснсталлировать
    Очень не хочется удалить что-нибудь "лишнее", чтобы ещё больших проблем не началось
    Сейчас устновил на первую ОС Оперу и с нее нормально могу зайти (вот к примеру на ваш форум).
    Так что видимо это проблема только с Explorer`ом, может быть стоит просто его переустановить?
    Или может быть эта ошибка возникает из-за того, что у меня сейчас стоит две ОС. Может быть стоит удалить вторую, чтобы осталась только первая?

  18. #17
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33
    Ответьте мне кто-нибудь, пожалуйста

  19. #18
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DelBHO('92780B25-18CC-41C8-B9BE-3C9C571A8263');
     DelBHO('5541FAF3-07B6-4582-8968-C5C8EE902447');
     QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин по этой ссылке. Повторите логи.

  20. #19
    Junior Member Репутация
    Регистрация
    02.01.2008
    Сообщений
    14
    Вес репутации
    33
    Выполняю описанный скирпт. Выскакивает табличка с надписью о том, что скрипт выполнен без ошибок. Нажимаю "ок" и система перезагружается (пробовал дважды).

    P.S. Не подскажите как мне удалить вторую копию Windows с моего компьютера?

  21. #20
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Ну и замечательно. Ждём карантин и повторные логи.

  • Уважаемый(ая) peculiar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирус блокирует запуск программ Windows 7(x64)
      От AntonioW в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.11.2011, 19:28
    2. Вирус полностью блокирует Windows
      От Irina786 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.02.2011, 05:59
    3. Здравствуйте!Вирус блокирует работу Windows XP
      От Andronnij в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.11.2010, 16:09
    4. Ответов: 7
      Последнее сообщение: 08.11.2009, 13:10
    5. Вирус блокирует работу Windows XP
      От Igor78 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.04.2009, 19:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00427 seconds with 21 queries