-
Junior Member
- Вес репутации
- 55
Система заблокирована.
Посмотрите плиз логи. На компе был вирус "система заблокирована, отправьте смс", после использования DRWeb LiveCD, система перестала загружаться(загрузка параметров пользователя, затем сохранение и выход в окно пользователей), восстановил на другом компе Userinit.exe, и соответствующий раздел реестра, комп загрузился, хайджек не запускается, ругается на политики, сделал логи avz, но авз не обновляется.
Последний раз редактировалось SlyAss; 06.08.2009 в 18:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digeste.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WIN-XP\system32\avpo.exe','');
QuarantineFile('C:\Documents\Администратор\reader_s.exe','');
DeleteService('protect');
QuarantineFile('C:\WIN-XP\System32\drivers\protect.sys','');
DeleteService('at1394');
QuarantineFile('C:\WIN-XP\system32\at1394.sys','');
QuarantineFile('C:\WIN-XP\system32\sopidkc.exe','');
QuarantineFile('C:\WIN-XP\system32\tdctxte.exe','');
DeleteService('2GIS UpdateClientService');
QuarantineFile('C:\WIN-XP\TEMP\VRT34.tmp','');
QuarantineFile('C:\WIN-XP\system32\drivers\hjgruijouyxpiq.sys','');
DeleteFile('C:\WIN-XP\system32\drivers\hjgruijouyxpiq.sys');
DeleteFile('C:\WIN-XP\TEMP\VRT34.tmp');
DeleteFile('C:\WIN-XP\system32\at1394.sys');
DeleteFile('C:\WIN-XP\System32\drivers\protect.sys');
DeleteFile('C:\Documents\Администратор\reader_s.exe');
DeleteFile('C:\WIN-XP\system32\avpo.exe');
DeleteFile('crypts.dll');
DeleteFile('digeste.dll');
ExecuteRepair(13);
ExecuteRepair(12);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пршлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 55
AVZ обновился, скидываю логи, хайджек не запускается, ругается на политики ограничения применения програмного обеспечения. Не открывается окно активации виндовс (я же винду обновлял, активировать бы . карантин отправил
Последний раз редактировалось SlyAss; 06.08.2009 в 18:22.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('2d0ed0d-0ee0-4f90-8827-78cefb8f4988');
QuarantineFile('C:\WIN-XP\system32\ieudinit.exe','');
QuarantineFile('C:\WIN-XP\system32\gread32.exe','');
QuarantineFile('C:\WIN-XP\services.exe','');
DeleteService('tdctxte');
DeleteService('sopidkc');
DeleteFile('C:\WIN-XP\system32\sopidkc.exe');
DeleteFile('C:\WIN-XP\system32\tdctxte.exe');
DeleteFile('C:\WIN-XP\services.exe');
DeleteFile('C:\WIN-XP\system32\gread32.exe');
DeleteFile('C:\WIN-XP\system32\ieudinit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 55
Сделал. Активация винды пока не открывается, странички в ИЕ тоже.
Последний раз редактировалось SlyAss; 06.08.2009 в 18:22.
-
Какой антивирус используете: Symantec или AVG?
Пофиксить в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - *{95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - *{09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [reader_s] C:\WIN-XP\System32\reader_s.exe
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
O20 - Winlogon Notify: crypt - C:\WIN-XP\
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WIN-XP\system32\afisicx.exe','');
QuarantineFile('c:\progra~1\ThunMail\testabd.dll','');
QuarantineFile('C:\WIN-XP\System32\reader_s.exe','');
DeleteFile('C:\WIN-XP\System32\reader_s.exe');
DeleteFile('c:\progra~1\ThunMail\testabd.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Сделал. Карантин отправил
Последний раз редактировалось SlyAss; 06.08.2009 в 18:23.
-
C:\WIN-XP\system32\afisicx.exe проверьте на virustotal Ссылку на результат проверки сообщите
Сделайте такой лог http://virusinfo.info/showthread.php?t=40118
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Лог сделал, такого (C:\WIN-XP\system32\afisicx.exe) файла в системе не нашел.
Последний раз редактировалось SlyAss; 06.08.2009 в 18:23.
-
скопируйте содержимое в блокнот , сохраните как 1.bat , в папке со gmer , запустите
Код:
gmer.exe -del service hjgruipcbfjwxf
gmer.exe -del service SKYNETbitlwmnm
gmer.exe -del file "C:\WINDOWS\system32\drivers\hjgruijouyxpiq.sys"
gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETpcxnssrs.sys"
gmer.exe -del file "C:\WINDOWS\system32\hjgruiqyxueqdw.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgruibrflcnqe.dat"
gmer.exe -del file "C:\WINDOWS\system32\hjgruitfpccfge.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgruiwswwktus.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETbixeoowk.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETquewannv.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETxfqkbijb.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETctfffvkp.dat"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETbitlwmnm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hjgruipcbfjwxf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETbitlwmnm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hjgruipcbfjwxf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETbitlwmnm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruipcbfjwxf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet\Services\SKYNETbitlwmnm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet\Services\hjgruipcbfjwxf"
gmer -reboot
повторите лог gmer
-
-
Junior Member
- Вес репутации
- 55
батником файлы не удаляются, написано отказано в доступе.
-
-
-
Junior Member
- Вес репутации
- 55
Вот он..... Ответьте пожалуйста, а то уже скоро срок активации кончится (((
Последний раз редактировалось SlyAss; 06.08.2009 в 18:23.
-
Junior Member
- Вес репутации
- 55
Ребят, мне кто-нибудь ответит, или не ждать? 2 дня прошло уже...
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\hjgruipcbfjwxf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\SKYNETbitlwmnm"
gmer -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось SlyAss; 06.08.2009 в 18:23.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
не открываются странички в IE. не запускается окно с активацией виндовс.. может сверху переустановить?
Добавлено через 2 часа 0 минут
поставил IE 8 . все вроде работает , спасибочки
Последний раз редактировалось SlyAss; 16.07.2009 в 15:52.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\win-xp\system32\drivers\hjgruijouyxpiq.sys - Rootkit.Win32.Pakes.ts ( BitDefender: Gen:Rootkit.Heur.4018E7A6A6 )
-