Вирусы блокируют лечение по правилам...
В safe mode также, как и в обычном заблокирован запуск всех программ. Диспетчер отключен, реестр заблокирован, ничего не могу запустить, чтобы выполнить лечение в соответствии с правилами. Восстановление разумеется тоже не могу отключить.
Загрузился с реаниматора. Прогнал curit и avz нашел около 36 троянов, которые были вроде удалены. Перезагрузился в safe mode - ничего не изменилось. CD тоже заблокирован - только флэшку видит.
Что попробовать сделать?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
откройте ключ HKEY_CLASSES_ROOT\exefile\shell\open\command\ больной системы
значение должно быть ... "%1" %* после этого попробуйте запустить авз ...
там этот ключ и так стоит...
Добавлено через 20 минут
А можно ли отключить функцию автовосстановления, не входя в винды, если жесткий диск доступен из под другой системы?
Последний раз редактировалось ab777; 21.06.2008 в 19:44. Причина: Добавлено
вы смотрели реестр больной оси или диска ... ?Сообщение от ab777
больной оси...
ie запускается ?
простой explorer запускается... ie не пробовал, но макстон не запускается
pingpong.pif - переименованный AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
Скачайте, попробуйте запустить, если не получится, переименуйте его в WinRar.exe и снова попробуйте запустить.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
exe шники в принципе не запускаются никакие. сейчас попробую с пингпонгом...
Добавлено через 10 минут
Please enter the following code when downloading. Only enter symbols attached to a cat.
This is for security reasons. Premium users can jump this step.
Не понимаю, какие я должен симвылы выбрать, чтобы скачать... :-)))
Хрень какая-то с буквами пририсована, не пойму.
А можно с нормального хостинга скачать какого-нибудь, без извращенных кодов?
Последний раз редактировалось ab777; 21.06.2008 в 22:01. Причина: Добавлено
Там не сложно. Вы должны ввести четыре символа с кошкой. Их всего четыре, остальные символы с существом похожим на кошку, но не с кошкойПопробуйте.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Ну я смысл-то понял, только кошек не могу отличить :-)))
Сейчас еще попробую
Добавлено через 1 минуту
О, чудо! вроде угадал! :-))) Пойду попробую запустить.
Проверил ie не работает
Добавлено через 3 минуты
запустился авз - пойду скрипты запускать...
Добавлено через 10 минут
Я пингпонг с флэшки запустил, а куда будут логи писаться? На флэшку?
Добавлено через 3 минуты
Определил три перехватчика, которые не определил:
IRP_MJ_DEVICE_CONTROL
IRP_MJ_LOCK_CONTROL
IRP_MJ_PNP
Они судя по всему перехватывают управление и не дают ничего запустить. Вирусы пока не видит. Сканирование продолжается... Много файлов...
Добавлено через 32 минуты
Во время проверки отреагировал norton antivirus, кого-то поймал. (хотя в трее его не видно было)
По правилам его вроде отключить надо, а отключить-то я не могу...
Пусть проверяет дальше?
Последний раз редактировалось ab777; 21.06.2008 в 23:00. Причина: Добавлено
естественно пусть проверяет ....
Сделайте хотя бы лог по пункту 10 правил.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Третий не прицепляю, так как программу запустить не могу - все заблокировано...
Последний раз редактировалось ab777; 24.06.2008 в 23:09.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('Google Online Services', 4); QuarantineFile('NvQTwk.exe',''); QuarantineFile('kdiql.exe',''); QuarantineFile('E:\WINDOWS\herjek.exe',''); QuarantineFile('E:\WINDOWS\pxgdslro.dll',''); QuarantineFile('E:\WINDOWS\winlogon.exe',''); QuarantineFile('E:\WINDOWS\System32\MAT2.scr',''); QuarantineFile('E:\WINDOWS\system32\drivers\MTictwl.sys',''); QuarantineFile('E:\Program Files\ie_updates3r.exe',''); QuarantineFile('E:\WINDOWS\system32\BiCMonNT.dll',''); QuarantineFile('E:\WINDOWS\system32\BiMMonNT.dll',''); QuarantineFile('E:\WINDOWS\gnowmebk.dll',''); DeleteFile('E:\WINDOWS\gnowmebk.dll'); DeleteFile('E:\Program Files\ie_updates3r.exe'); DeleteFile('E:\WINDOWS\winlogon.exe'); DeleteFile('E:\WINDOWS\pxgdslro.dll'); DeleteFile('E:\WINDOWS\herjek.exe'); DeleteFile('kdiql.exe'); DeleteService('Google Online Services'); BC_ImportALL; ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
Добавлено через 46 секунд
Повторите логи.
Последний раз редактировалось akoK; 22.06.2008 в 00:06. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Карантин пустой, поэтому нечего архивировать...
Последний раз редактировалось ab777; 24.06.2008 в 23:09.
что-то еще надо делать?
Лог HijackThis делался до логов AVZ?
1.Пофиксить в HijackThis следующие строчки, если такие будут ( http://virusinfo.info/showthread.php?t=4491 )
После чего повторите лог HijackThisКод:F2 - REG:system.ini: Shell=Explorer.exe "E:\WINDOWS\system32\hwqz472.exe" O2 - BHO: WRL Advisor - {5AB14FEE-E161-455B-9A60-91AE848F8FA0} - E:\WINDOWS\nldfmtapefs.dll O2 - BHO: E:\WINDOWS\System32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - E:\WINDOWS\System32\hdxjd4g.dll O2 - BHO: E:\WINDOWS\System32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - E:\WINDOWS\System32\djki397g.dll O4 - HKLM\..\Run: [runwinlogon] E:\WINDOWS\winlogon.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Hhjg5jfd93dftdf] E:\WINDOWS\TEMP\winlagon.exe O4 - HKLM\..\Run: [System] E:\WINDOWS\System32\wind32.exe O4 - HKLM\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe O4 - HKLM\..\Run: [autoload] E:\Documents and Settings\ASTA-2000\cftmon.exe O4 - HKCU\..\Run: [Hhjg5jfd93dftdf] E:\WINDOWS\TEMP\winlagon.exe O4 - HKCU\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe O4 - HKCU\..\Run: [HJdfke9kfdf] E:\DOCUME~1\ASTA-2~1\LOCALS~1\Temp\csrssc.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O17 - HKLM\System\CCS\Services\Tcpip\..\{DB0D2E74-25FC-44CC-BEBA-004984AE2C0D}: NameServer = 85.255.112.179 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.179 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.179 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.179 O21 - SSODL: gnowmebk - {928C6125-0366-4632-A4C6-8E029DF8DFE0} - E:\WINDOWS\gnowmebk.dll O21 - SSODL: pxgdslro - {AFBFDE89-74D2-449B-8A35-D8B4B29ADF2D} - E:\WINDOWS\pxgdslro.dll (file missing)
2.Очень рекомендуется обновить систему до SP3Platform: Windows XP SP2, v.1204 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1157)
The worst foe lies within the self...
Вроде все чисто...
Последний раз редактировалось ab777; 24.06.2008 в 23:09.
Портал интересует Ваше мнение о помощи в разделе "Помогите"
Вы можете его высказать в теме Скажи, что ты думаешь о Virusinfo
The worst foe lies within the self...
Уважаемый(ая) ab777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
