Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

medichi и не только :( (заявка № 16055)

  1. #1
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33

    Thumbs up medichi и не только :(

    Здравствуйте! Счастливого всем Рождества!
    Проблемы таковы:

    Нарушение ассоциации EXE файлов
    Нарушение ассоциации SCR файлов
    Блокировка редактора реестра
    Блокировка диспетчера задач
    Блокировка панели управления
    Заблокированы настройки системы Windows Update

    CD/DVD диски не отпределяются

    При перезагрузке в С:\WINDOWS\ - постоянно появляются
    medichi.exe
    medichi2.exe
    murka.dat

    Установлен NOD32. Сканер отрабатывает, но все не лечит.
    Центр управления - не запускается.

    CureIt - скачала. Экспресс проверка удалила 3 вируса.
    В безопасном режиме запустить не смогла. Т.к. eхе-файлы не запускаются, я их запускаю через меню ПКМ "Запуск от имени".
    В безопасном режиме так не получилось.
    На CD скопировать тоже не могу.

    AVZ и HijackThis - cкачала. Запускаются только переименованные.

    Восстановление системы отключить не удалось.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    1. Пофиксите:
    Код:
    O4 - HKLM\..\Run: [syscache] C:\Program Files\Windows NT\NTmon.exe
    O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
    O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\system32\newmaxxsv234.exe
    	O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
    	O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
    	O4 - HKLM\..\Run: [Medichi] medichi.exe
    	O4 - HKLM\..\Run: [Medichi2] medichi2.exe
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
    	O4 - HKCU\..\Run: [kernel] C:\Program Files\kernel\kernel.exe
     	O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    	O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs: murka.dat
    	O23 - Service: ZZZsvc_lich - Unknown owner - C:\lich.exe (file missing)
    2. Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Cof49.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
     QuarantineFile('C:\WINDOWS\murka.dat','');
     DeleteFile('C:\WINDOWS\murka.dat');
    DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
    DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
    DeleteFile('C:\WINDOWS\mrofinu27.exe');
    DeleteFile('C:\WINDOWS\taskmon.exe');
    DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
    DeleteFile('C:\lich.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    3. После перезагрузки попробуйте в безопасном режиме http://virusinfo.info/showthread.php?t=10387

  4. #3
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33
    Выполнила все 3 пункта.
    С нетерпением жду дальнейших инструкций.
    Спасибо за указания.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\murka.dat','');
     QuarantineFile('C:\WINDOWS\medichi2.exe','');
     QuarantineFile('C:\WINDOWS\medichi.exe','');
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Cof49.sys','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\medichi.exe');
     DeleteFile('C:\WINDOWS\medichi2.exe');
     DeleteFile('C:\WINDOWS\murka.dat');
     DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
     DeleteFile('C:\WINDOWS\system32\taskmon.sys');
     BC_ImportAll;
     BC_QrFile('C:\WINDOWS\system32\lrito59d-605c.sys');
     BC_DeleteFile('C:\WINDOWS\medichi.exe');
     BC_DeleteFile('C:\WINDOWS\medichi2.exe');
     BC_DeleteFile('C:\WINDOWS\murka.dat');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
     BC_DeleteSvc('Cof49');
     BC_DeleteFile('C:\WINDOWS\system32\taskmon.sys');
     BC_DeleteSvc('taskmon');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Карантин пришлите

  6. #5
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33
    Пробовала 3 раза запустить скрипт.
    Сначала все идет хорошо.
    Успеваю заметить красненькую строчку:"Код перехватчика нейтрализован".
    И тут- экран гаснет - и все зависает.
    Перезагружаюсь кнопкой...
    Лог сохранить не успеваю.

    Но карантин отправила согласно Приложению 3 в Правилах. Хотя не уверена, что правильно Вас поняла...
    Последний раз редактировалось Мiшелька; 07.01.2008 в 10:59.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    сделайте новые логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33
    В AVZ - Стандартный "Скрипт лечения/карантина и сбора информации..." тоже дает - черный экран и зависание
    Лог сделать не получилось.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    c:\windows\medichi.exe - not-virus:Hoax.Win32.Renos.aom
    c:\windows\medichi2.exe Trojan.Win32.Agent.dqz
    C:\WINDOWS\murka.dat Backdoor.Win32.Small.cbo
    C:\WINDOWS\System32\Drivers\Beep.SYS Rootkit.Win32.Agent.sv
    C:\WINDOWS\system32\Drivers\Cof49.sys Rootkit.Win32.Agent.sc
    отключите антивирус ...
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [Medichi] medichi.exe
    O4 - HKLM\..\Run: [Medichi2] medichi2.exe
    O20 - AppInit_DLLs: murka.dat
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll
    выполните скрипт....
    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\WINDOWS\murka.dat');
     DeleteFile('C:\WINDOWS\medichi.exe');
     DeleteFile('C:\WINDOWS\medichi2.exe');
     BC_DeleteSvc('Beep');
     BC_DeleteSvc('Cof49');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи...

  10. #9
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33
    Ваш скрипт сначала тоже прервался черным экраном.
    Но я его запустила в безопасном режиме.
    И УРА!!! Он отработал.
    И после него и другие скрипты стали запускаться уже не в безопасном...
    И хотя вирусы не побеждены - настроение поднялось.
    Спасибо!!!
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пофиксите ....
    Код:
    O4 - HKLM\..\Run: [Medichi] medichi.exe
    O4 - HKLM\..\Run: [Medichi2] medichi2.exe
    O20 - AppInit_DLLs: murka.dat
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll (file missing)
    пришлите карантин согласно приложения 3 правил .

  12. #11
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33
    Скрипт выполнила.
    Все само перезагрузилось.
    Пофиксила.
    Карантин отправила. Только он какой-то подозрительно пустой.

    Перезагрузилась еще раз.
    В C:\WINDOWS этих медичей больше нет. Просто не верю глазам своим.

    А вот это как мне грамотно все назад вернуть?

    "Нарушение ассоциации EXE файлов
    Нарушение ассоциации SCR файлов
    Блокировка редактора реестра
    Блокировка диспетчера задач
    Блокировка панели управления
    Заблокированы настройки системы Windows Update

    CD/DVD диски не отпределяются"
    Последний раз редактировалось Мiшелька; 07.01.2008 в 15:55.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
    BC_ImportQuarantineList;
    BC_DeleteSvc('taskmon.sys');
    BC_DeleteSvc('TSP');
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    Если карантин будет не пустой - пришлите.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33
    Выполнила.
    Карантин пустой.
    Медичей в C:\WINDOWS нет.
    Но при выполнении скрипта были 4 строчки красненьким.
    "Ошибка...
    Потом что-то про карантин
    Ошибка...
    И опять про карантин"
    Но не успела прочесть. Окошко другое закрывало.
    И перезагрузилось все очень быстро.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Сделайте лог virusinfo_syscheck для контроля

  16. #15
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33
    Ура!
    Медичей нет!
    Диспетчер задач разблокировался!
    Nоd32, правда, выдает:
    "Ошибка при сканировании MBR сектора физического диска 1. Ошибка чтения сектора"
    Это плохо?
    Логи прилагаю.
    Всем огромное спасибище!!!
    Только как же эти ассоциации к EXE файлам вернуть?
    Осталось:
    "Нарушение ассоциации EXE файлов
    Нарушение ассоциации SCR файлов"


    regedit - тоже не запускается...
    И CD/DVD диски по-прежнему не видятся.
    Но это уже все мелочи по сравнению с тем, что было.
    Хотя я пока не знаю, как их поправить...
    Советам буду рада.
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт...
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(13);
    ExecuteRepair(16);
    ExecuteRepair(17);
    BC_DeleteSvc('lrito59d-605c');
    BC_Activate;
    RebootWindows(true);
    end.
    avz-мастер поиска и устранения проблем - выбираете проблемы - устранить ...

  18. #17
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33
    Все выполнила.
    Ура-а-а-а-а-!
    Никогда не думала, что можно столько радости получить просто потому, что:
    тык мышкой по значку - запускается!
    Мастер поиска и устранения проблем не нашел проблем!
    Спасибо всему сервису VirusInfo - просто за то, что вы есть, ребята!

  19. #18
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33
    Только сканер NOD32 нашел 31 вирус в файлах восстановления.
    Это чем грозит?
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Восстановление системы: включено / отключите ... и включите ... все зловреды законсервированные в восстановлении будут уничтожены ...

  21. #20
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    33
    Спасибо! Теперь все ОК.

  • Уважаемый(ая) Мiшелька, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 12.07.2012, 06:22
    2. Вирус Medichi, Medichi2 странный
      От addictive в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 03:33
    3. вирус medichi
      От Mihas в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:18
    4. medichi, medichi2 и wowfx не могу убрать...
      От ViVeda в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:11
    5. Вирус "Sanitar Diska" или "Medichi"
      От Rubzel в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 31.12.2007, 08:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00282 seconds with 23 queries