Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Trojan блокирует работу антивируса и доступ к ряду сайтов (заявка № 50221)

  1. #1
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    54

    Thumbs up Trojan блокирует работу антивируса и доступ к ряду сайтов

    Доброго времени суток!
    Требуется помощь. Trojan блокирует работу антивируса и доступ к ряду сайтов.
    Спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Системное восстановление, если ещё этого не сделали!!! Это ВАЖНО!
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\DOWNLO~1\SysInfo.dll','');
     QuarantineFile('rdpclip','');
     QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe','');
     QuarantineFile('C:\Windows\system32\msiexec','');
     QuarantineFile('C:\Windows\System32\appdrvrem01.exe','');
     QuarantineFile('C:\Windows\system32\geyekrfddejxfm.dll','');
     DeleteFile('C:\Windows\system32\geyekrfddejxfm.dll');
     DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe');
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteRepair(13); {очистка файла hosts}
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

  4. #3
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    54
    Не смог выполнить скрипт в обычном режиме, так как вирус уже заблокировал систему (просит отправить смс для разблокирования). Скрипт выполнил в безопасном режиме. Еще вот что насторожило, при выполнении скриптов в AVZ в протоколе пишется:
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка загрузки драйвера - проверка прервана [C000035F]
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    Ошибка загрузки драйвера - проверка прервана [C000035F]

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\iTuneshelp.exe','');
     QuarantineFile('C:\Windows\SMINST\launcher.exe','');
     QuarantineFile('C:\Windows\Media\sound.exe','');
     DeleteFile('C:\Windows\Media\sound.exe');
    DeleteFile('C:\Windows\iTuneshelp.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи (по возможности в нормальном режиме)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    54
    Скрипт выполнил в безопасном режиме. После чего удалось зайти в нормальный режим, там выполнил логи. Карантин подгрузил.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe','');
     QuarantineFile('C:\Windows\system32\drivers\geyekrhvfrmdrr.sys','');
     DeleteFile('C:\Windows\system32\drivers\geyekrhvfrmdrr.sys');
     DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи AVZ + лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    54
    Скрипт выполнил. Архив карантина подгрузил

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\system32\Drivers\vdkxnjky.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\geyekrhvfrmdrr.sys','');
     QuarantineFile('C:\WINDOWS\system32\geyekrpxevcrdm.dll','');
     QuarantineFile('C:\WINDOWS\system32\geyekrfddejxfm.dll','');
     QuarantineFile('C:\WINDOWS\\system32\geyekrmjjjomwp.dat','');
     QuarantineFile('C:\WINDOWS\system32\geyekrajgfquax.dat','');
     DeleteFile('C:\Windows\system32\Drivers\vdkxnjky.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите "Тип файла: все файлы" и "Имя файла: cleanup.bat". Не забудьте сохраниться именно в ту папку, где находится gmer.exe!).
    Код:
    gmer.exe -killall 
    gmer.exe -del service geyekrasmxgwed 
    gmer.exe -killfile "C:\WINDOWS\system32\drivers\geyekrhvfrmdrr.sys"
    gmer.exe -killfile "C:\WINDOWS\system32\geyekrpxevcrdm.dll"
    gmer.exe -killfile "C:\WINDOWS\\system32\geyekrmjjjomwp.dat"
    gmer.exe -killfile "C:\WINDOWS\system32\geyekrfddejxfm.dll"
    gmer.exe -killfile "C:\WINDOWS\system32\geyekrajgfquax.dat"
    gmer.exe -killfile "C:\Windows\system32\Drivers\vdkxnjky.sys"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrasmxgwed"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\geyekrasmxgwed"
    gmer.exe -reboot
    И запустите cleanup.bat
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Сделайте лог с помощью GMER.
    gmer.log
    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

  10. #9
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    54
    После запуска cleanup.bat выскакивает окно

    C:/Users/Vlad/Desktop/gmer.exe
    The security ID may not be assigned as the owner of this object

    И после каждой коммандной строчки скрипта: Access id denied

    Пробовал Run as admimistrator, тогда вообще ничего не происходит

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    54
    Новый лон gmer

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Внимание: cleanup.bat запускать от имени Администратора по правой кнопке мыши

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service geyekrasmxgwed
    gmer.exe -del file "c:\windows\system32\drivers\geyekrhvfrmdrr.sys"
    gmer.exe -del file "c:\windows\system32\geyekrpxevcrdm.dll"
    gmer.exe -del file "c:\windows\system32\geyekrmjjjomwp.dat"
    gmer.exe -del file "c:\windows\system32\geyekrfddejxfm.dll"
    gmer.exe -del file "c:\windows\system32\geyekrajgfquax.dat"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrasmxgwed"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\geyekrasmxgwed"
    gmer.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Последний раз редактировалось thyrex; 20.07.2009 в 18:18.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    54
    Новый лог гмер

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Все последующие операции выполнять под администраторской учётной записью!
    Системное восстановление отключить!
    Антивирусы, файерволы и прочие программы - отключить!

    - Скачайте и распакуйте на диске С вот этот архив.
    - Запустите avenger.exe. В окне запроса нажмите ОК.
    - Вставьте в окно следующий текст:
    Код:
    Files to delete:
    c:\windows\system32\drivers\geyekrhvfrmdrr.sys
    c:\windows\system32\geyekrpxevcrdm.dll
    c:\windows\system32\geyekrmjjjomwp.dat
    c:\windows\system32\geyekrfddejxfm.dll
    c:\windows\system32\geyekrajgfquax.dat
    
    Drivers to delete:
    geyekrasmxgwed
    - Установите активными опции Scan for rootkits и Automatically disable any rootkits found.
    - Нажмите Execute.
    - Во всех остальных появляющихся окнах жмите ОК.

    Система перезагрузится.
    После перезагрузки:
    - Пришлите файл карантина из папки C:\Avenger\backup.zip согласно Правил (Приложение 3).
    - Сделайте повторный лог с помощью GMER.
    gmer.log

  16. #15
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    54
    backup.zip подгрузил

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    В логе чисто.

    Сделайте еще раз логи AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    54
    Новые логи AVZ
    Можно радоваться исцелению?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Что с симптомами?
    Trojan блокирует работу антивируса и доступ к ряду сайтов.

  20. #19
    Junior Member Репутация
    Регистрация
    18.07.2009
    Сообщений
    26
    Вес репутации
    54
    Все функционирует как и должно.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Миссия выполнена
    Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
    Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
    Установите все последние обновления системы Windows и используемых программ.

  • Уважаемый(ая) VLAD-M, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 27.06.2011, 21:00
    2. вирус блокирует доступ к сайтам антивируса
      От nana_MeDBeD в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.11.2010, 15:15
    3. Ответов: 6
      Последнее сообщение: 18.04.2010, 19:15
    4. Вирус блокирует работу антивируса
      От Sancho_Xzb в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.10.2009, 23:28
    5. Ответов: 3
      Последнее сообщение: 14.09.2007, 14:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00136 seconds with 19 queries