Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Trojan блокирует работу антивируса и доступ к ряду сайтов (заявка № 50221)

  1. #1
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    27

    Thumbs up Trojan блокирует работу антивируса и доступ к ряду сайтов

    Доброго времени суток!
    Требуется помощь. Trojan блокирует работу антивируса и доступ к ряду сайтов.
    Спасибо.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Системное восстановление, если ещё этого не сделали!!! Это ВАЖНО!
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\DOWNLO~1\SysInfo.dll','');
     QuarantineFile('rdpclip','');
     QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe','');
     QuarantineFile('C:\Windows\system32\msiexec','');
     QuarantineFile('C:\Windows\System32\appdrvrem01.exe','');
     QuarantineFile('C:\Windows\system32\geyekrfddejxfm.dll','');
     DeleteFile('C:\Windows\system32\geyekrfddejxfm.dll');
     DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe');
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteRepair(13); {очистка файла hosts}
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

  4. #3
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    27
    Не смог выполнить скрипт в обычном режиме, так как вирус уже заблокировал систему (просит отправить смс для разблокирования). Скрипт выполнил в безопасном режиме. Еще вот что насторожило, при выполнении скриптов в AVZ в протоколе пишется:
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка загрузки драйвера - проверка прервана [C000035F]
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    Ошибка загрузки драйвера - проверка прервана [C000035F]

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\iTuneshelp.exe','');
     QuarantineFile('C:\Windows\SMINST\launcher.exe','');
     QuarantineFile('C:\Windows\Media\sound.exe','');
     DeleteFile('C:\Windows\Media\sound.exe');
    DeleteFile('C:\Windows\iTuneshelp.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи (по возможности в нормальном режиме)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    27
    Скрипт выполнил в безопасном режиме. После чего удалось зайти в нормальный режим, там выполнил логи. Карантин подгрузил.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe','');
     QuarantineFile('C:\Windows\system32\drivers\geyekrhvfrmdrr.sys','');
     DeleteFile('C:\Windows\system32\drivers\geyekrhvfrmdrr.sys');
     DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи AVZ + лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    27
    Скрипт выполнил. Архив карантина подгрузил

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\system32\Drivers\vdkxnjky.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\geyekrhvfrmdrr.sys','');
     QuarantineFile('C:\WINDOWS\system32\geyekrpxevcrdm.dll','');
     QuarantineFile('C:\WINDOWS\system32\geyekrfddejxfm.dll','');
     QuarantineFile('C:\WINDOWS\\system32\geyekrmjjjomwp.dat','');
     QuarantineFile('C:\WINDOWS\system32\geyekrajgfquax.dat','');
     DeleteFile('C:\Windows\system32\Drivers\vdkxnjky.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите "Тип файла: все файлы" и "Имя файла: cleanup.bat". Не забудьте сохраниться именно в ту папку, где находится gmer.exe!).
    Код:
    gmer.exe -killall 
    gmer.exe -del service geyekrasmxgwed 
    gmer.exe -killfile "C:\WINDOWS\system32\drivers\geyekrhvfrmdrr.sys"
    gmer.exe -killfile "C:\WINDOWS\system32\geyekrpxevcrdm.dll"
    gmer.exe -killfile "C:\WINDOWS\\system32\geyekrmjjjomwp.dat"
    gmer.exe -killfile "C:\WINDOWS\system32\geyekrfddejxfm.dll"
    gmer.exe -killfile "C:\WINDOWS\system32\geyekrajgfquax.dat"
    gmer.exe -killfile "C:\Windows\system32\Drivers\vdkxnjky.sys"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrasmxgwed"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\geyekrasmxgwed"
    gmer.exe -reboot
    И запустите cleanup.bat
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Сделайте лог с помощью GMER.
    gmer.log
    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

  10. #9
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    27
    После запуска cleanup.bat выскакивает окно

    C:/Users/Vlad/Desktop/gmer.exe
    The security ID may not be assigned as the owner of this object

    И после каждой коммандной строчки скрипта: Access id denied

    Пробовал Run as admimistrator, тогда вообще ничего не происходит

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Сделайте новый лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    27
    Новый лон gmer

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Внимание: cleanup.bat запускать от имени Администратора по правой кнопке мыши

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service geyekrasmxgwed
    gmer.exe -del file "c:\windows\system32\drivers\geyekrhvfrmdrr.sys"
    gmer.exe -del file "c:\windows\system32\geyekrpxevcrdm.dll"
    gmer.exe -del file "c:\windows\system32\geyekrmjjjomwp.dat"
    gmer.exe -del file "c:\windows\system32\geyekrfddejxfm.dll"
    gmer.exe -del file "c:\windows\system32\geyekrajgfquax.dat"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrasmxgwed"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\geyekrasmxgwed"
    gmer.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Последний раз редактировалось thyrex; 20.07.2009 в 18:18.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    27
    Новый лог гмер

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Все последующие операции выполнять под администраторской учётной записью!
    Системное восстановление отключить!
    Антивирусы, файерволы и прочие программы - отключить!

    - Скачайте и распакуйте на диске С вот этот архив.
    - Запустите avenger.exe. В окне запроса нажмите ОК.
    - Вставьте в окно следующий текст:
    Код:
    Files to delete:
    c:\windows\system32\drivers\geyekrhvfrmdrr.sys
    c:\windows\system32\geyekrpxevcrdm.dll
    c:\windows\system32\geyekrmjjjomwp.dat
    c:\windows\system32\geyekrfddejxfm.dll
    c:\windows\system32\geyekrajgfquax.dat
    
    Drivers to delete:
    geyekrasmxgwed
    - Установите активными опции Scan for rootkits и Automatically disable any rootkits found.
    - Нажмите Execute.
    - Во всех остальных появляющихся окнах жмите ОК.

    Система перезагрузится.
    После перезагрузки:
    - Пришлите файл карантина из папки C:\Avenger\backup.zip согласно Правил (Приложение 3).
    - Сделайте повторный лог с помощью GMER.
    gmer.log

  16. #15
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    27
    backup.zip подгрузил

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    В логе чисто.

    Сделайте еще раз логи AVZ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    27
    Новые логи AVZ
    Можно радоваться исцелению?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Что с симптомами?
    Trojan блокирует работу антивируса и доступ к ряду сайтов.

  20. #19
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    27
    Все функционирует как и должно.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Миссия выполнена
    Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
    Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
    Установите все последние обновления системы Windows и используемых программ.

  • Уважаемый(ая) VLAD-M, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 27.06.2011, 21:00
    2. вирус блокирует доступ к сайтам антивируса
      От nana_MeDBeD в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.11.2010, 15:15
    3. Ответов: 6
      Последнее сообщение: 18.04.2010, 19:15
    4. Вирус блокирует работу антивируса
      От Sancho_Xzb в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.10.2009, 23:28
    5. Ответов: 3
      Последнее сообщение: 14.09.2007, 14:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01306 seconds with 20 queries