-
Junior Member
- Вес репутации
- 54
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1) Пофиксите в HijackThis:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\cRQCT.dll
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
2) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\cRQCT.dll','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
DeleteFile('C:\WINDOWS\system32\cRQCT.dll');
DeleteService('OMSCAN', true);
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
4) Сделайте новые логи по правилам.
-
-
Junior Member
- Вес репутации
- 54
Пофиксил в HijackThis :
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
(Только эта строку выдал HijackThis).
Выполнил скрипт в AVZ, комп перегрузился и на входе в систему требует пароль. Пароля не было отродясь. Требует и в безопасном режиме и на уч. запись администратора (тоже не было пароля).
-
Если поле пароль оставить пустым - войти в систему получается?
Если нет - попробуйте сбросить пароль администратора при помощи советов из этой темы:
http://forum.oszone.net/thread-72251.html
-
-
Junior Member
- Вес репутации
- 54
Спасибо за ссылку, попробовал 2 первых способа, обе программы отработали нормально, ошибок не выдавали, но ничего не помогает. При попытке входа выдается сообщение "вход в систему невозможен, т.к. домен 23DIGGER не доступен". Пробовал на резервной системе те же проги для сброса пароля- работают результативно.
Попробовал 3ю порграмму для сброса пароля - безрезультатно. Должно же как то это обходиться! Может ключ какой в реестре поправить?
Последний раз редактировалось 23Digger; 27.11.2009 в 05:44.
-
При загрузке системы нажмите F8 - если в появившемся меню дополнительных вариантов загрузки Windows есть вариант "Восстановление службы каталогов" - выберите его. После этого попробуйте войти в систему.
Также если есть вариант "Загрузка последней удачной конфигурации" - выбирите его и попробуйте затем войти в систему.
-
-
Junior Member
- Вес репутации
- 54
Спасибо за поддержку, вечером продолжу танцы с бубном.
-
Сожалею, что у вас возникла такая проблема.
Я даже не знаю почему это произошло - видимо произошёл какой-то сбой, так как скрипт к таким последствиям не мог привести.
Данная ситуацию иногда возникает, но никто не знает с чем это связано - вот пример:
Такая проблема: приходим, зараженный ПК с хрюшей, лечим курицей, ребут по окончании и тут вываливается стандартная логон-страничка с запросом пароля, хотя пароля не было. При вводе пароля (не важно какого) выводится такой эррор с заголовком:
Сообщение при входе в систему
и текстом:
Подключение к системе сейчас невозможно, так как домен ТУТ_ЕГО_ИМЯ недоступен
Такая фигня мне уже третий раз за последние два месяца попалась вот я и решил разобраться, т.к. не охота всех на реинстал посылать.
Что делал: сканил на винлокеры, менял и обнулял пароли всевозможными утилками с разных лайв сиди, создавал юзеров, пытался зайти под админом через двойное нажатие заветных клавиш... да и вообще там больше не в пароле дело, а в типе входа в систему - он там сетевой походу выставился, а не локальный. Как вернуть не заходя в систему я хз.
-
-
Junior Member
- Вес репутации
- 54
И снова здравствуйте!
Проблему с сообщением "вход в систему невозможен, т.к. домен XXXXX не доступен" решил.
Подозрение моё пало на сервисы, стартующие при загрузке системы, и зная по собственному опыту какие приходы бывают у антивирусов Касперского, вырубил сперва их.
Используя ERD Commaner 2005, влез в реестр в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es, нашел ключи Каспа и для каждого параметр Start выставил в значение 0х4 (Disabled). Возможно хватило бы и одного ключа klbg (boot guard), но проверять по одному неохота было (загрузка Live c ERD Commander занимает время).
После этого система загрузилась без каких-либо проблем, диспетчер задач, regedit и т.п. работают. Сделал логи по правилам, карантин загрузил. Проверьте плиз, все ли чисто.
Последний раз редактировалось 23Digger; 28.11.2009 в 03:20.
-
Здравствуйте!
Очень рад что вам удалось решить эту проблему.
Скорее всего этот глюк был действительно из-за антивирусов Касперского - я при поиске информации находил у них на форуме подобные темы.
Это ещё раз подтверждает, что нужно в точно выполнять правила запроса о помощи:
выгрузите антивирусную программу, сетевой экран (если они у Вас есть);
Спасибо что нашли решение данной проблемы - ваш опыт пригодится другим людям при возникновение аналогичных проблем.
Скрипт полностью корректно отработал.
В ваших новых логах ничего подозрительного не обнаружено.
Проблема полностью решена?
Рекомендации:
1) Установите Internet Explorer 8.
2) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
-
-
Junior Member
- Вес репутации
- 54
Выгружал Каспа, как сейчас помню.
Как будто все работает, даже мелких глюков не наблюдаю, все как ДО.
Большое человеческое спасибо за помощь!!!
Свободу попугаям!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\crqct.dll - Trojan.Win32.Agent.dcou ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rwk ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, AVAST4: Win32:Malware-gen )
-