-
Junior Member
- Вес репутации
- 60
Крепкий Winlock
Помогал другим избавиться, думал, что сам никогда не подцеплю...
Поймал авторуном с заражённой флэшки.
Итак:
При загрузке компьютер блокируется сообщением о нелицензионной версии видовс и просьбе отправить смс... Визуально окно похоже на Winloc.302
Опробывал формы с генерацией ключей от dr.Web результат нулевой
Залипание shift и последующим докапыванием до диалога открытия файла, тоже результатов не дало - exe-шники просто не запускаются (как ни странно не все, FAR открывается, AVZ естественно не открывается :-( )
LiveCD не лечит. Скачивал исо-шник неделю назад.
В бесопасном режиме не грузится, затыкается на загрузке какого-то из драйверов (не успеваю усидеть), и вылетает на перезагрузку
Что делать. даже не знаю. Систему естественно переустанавливать не айс. Помогите пожайлуста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
LongSnake
LiveCD не лечит. Скачивал исо-шник неделю назад.
Ну, это уже старьё. Скачайте свежий, вполне могли добавить.
-
-
Сообщение от
LongSnake
FAR открывается, AVZ естественно не открывается
avz.exe переименуйте в какой-нибудь dsa2.pif и попробуйте запустить. Это если не поможет свежескачанный LiveCD
-
-
Junior Member
- Вес репутации
- 60
уфф... с грехом пополам отключил окно виря кодом 13616
Однако после всего этого некоторые EXE-шники так и не запускаются, в том числе и AVZ (переименовывание в pif ситуацию не изменило). А так же отключен диспетчер задач.
Подозреваю что этот вирь, используя административные права, залочил групповую политику.
Буду разбираться дальше...
-
В безопасном режиме та же картина с запуском программ?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Безопасный режим так и не грузится.!! :-(
Зашёл под создателем (Администратор), всё тоже самое.
вобще когда я нажимаю ctrl+alt+del он мне пишет што диспетчер задач отключен администратором
твики тоже самое пишут :-) вообщебааардак блин
Последний раз редактировалось LongSnake; 05.11.2009 в 17:54.
-
Junior Member
- Вес репутации
- 60
Загрузился с нового (091105) LiveCD, просканил. скан нашёл пару спамботов, и winloc.406, грохнул.
В винде ситуация по прежнему плачевная: Доступ к реестру закрыт, к диспетчеру задач закрыт, хайджек выдаёт ошибку, авз не запускается вообще, курайти тоже. Безопасный режим не грузиться
Что делать?
-
Попробуйте провериться этой утилитой http://support.kaspersky.ru/viruses/...?qid=208636943
После этого попытайтесь сделать логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Оказался вирусняк Win32.sector.17.(он же Virus.win32.Sality.aa )
Лечил ,пользуясь статьё йкасперыча
добивал LiveCD
Щас просканируюсь и пришлю логи на всякий случай
Последний раз редактировалось Rene-gad; 08.11.2009 в 14:03.
Причина: полупрофессиональный совет удалён.
-
Junior Member
- Вес репутации
- 60
наконец нашёл время просканить.. посмотрите плиз.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ASKService');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('E:\RECYCLER\S-1-5-21-8920568992-6580846953-989053275-6071\sysdate.exe','');
DeleteFile('E:\Program Files\AskBarDis\bar\bin\AskService.exe');
DeleteFile('E:\RECYCLER\S-1-5-21-8920568992-6580846953-989053275-6071\sysdate.exe');
DeleteFile('E:\Program Files\AskBarDis\bar\bin\askBar.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 60
Как ни странно, но карантин пустой....
-
-
-
Junior Member
- Вес репутации
- 60
Что-то ещё и виндовый брандмауэр не запускается, пишет :"Вследствие неопределённой ошибки не удаётся отобразить параметры брандмауэра Windows"
Новые логи
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\drivers\ntfsnt.sys','');
QuarantineFile('E:\WINDOWS\system32\drivers\dmioex.sys','');
QuarantineFile('E:\WINDOWS\system32\drivers\ws2ifs2k.sys','');
DeleteFile('E:\WINDOWS\system32\drivers\ws2ifs2k.sys');
DeleteFile('E:\WINDOWS\system32\drivers\dmioex.sys');
DeleteFile('E:\WINDOWS\system32\drivers\ntfsnt.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 60
Карантин оправил.
Новые логи:
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\SharedAccess',
'ImagePath', 'REG_EXPAND_SZ',
'%SystemRoot%\system32\svchost.exe -k netsvcs');
QuarantineFile('E:\WINDOWS\system32\drivers\dmioex.sys','');
DeleteService('dmioex');
DeleteService('ntfsnt');
DeleteService('ws2ifs2k');
BC_DeleteSvc('dmioex');
BC_DeleteSvc('ntfsnt');
BC_DeleteSvc('ws2ifs2k');
DeleteFile('E:\WINDOWS\system32\drivers\dmioex.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 60
А это ещё что за...?
7. Эвристичеcкая проверка системы
>>> Обратите внимание - нестандартный диспетчер задач "TASKMAN.EXE"
9. Мастер поиска и устранения проблем
>> Подмена диспетчера задач
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
Executerepair(11);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится
Повторите действия, описанные в п. 2 Диагностики и новы лог прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 60
Подозрение на RootKit Перехватчик KernelMode
Каждый раз под разными именами:
то spko.sys
то spqu.sys