-
Junior Member
- Вес репутации
- 57
окно отправить смс - невозможно победить
Доброго времени!
С утра такая проблема на одном из ноутбуков.
После загрузки пользователя появляется окно (в безопасном режиме и в обычном):
Так же при загрузке появляется ошибка приложения - alg.exe, wuauclt.exe Память не может быть read. Окна выскакивают последовательно, даже без входя пользователя в компьютер.
Убить не могу, т.к. заблокирован запуск диспетчера задач.
Окно пропадает только при запуске Пуск-панель управления - Установка/удаление программ, но и то на секунд 10-20, далее перезапуск exporer'a.
Из автозагрузки тоже не могу, т.к при запуске любого приложения перезапускается explorer. и появляется опять это окно.
В безопасном та же история...
Логи сделать не могу, т.к. при запуске АВЗ комп уходит на перезагрузку... Даже после переименовывания avz.exe.
Еще есть такой момент. после вставки флешки в зараженный комп, на флешке появляется папка recycler с непонятной длл. Его прикрепляю во вложении, прошу не ругаться модераторов, т.к. это не карантин и куда его прикреплять не знаю пароль на архив 123.
Удалось в безопасном режиме запустить Hijackthis переименовав екзешник. После создания лога и созраниения под именем Hijackthis.txt комп ушел в перезагрузку... Лог тоже прикрепляю.
Да, на компьютере установлен DrWeb с последними базами - молчит.
Запустить утилиты CureIt и kaspersky не удалось не из безопасного не из обычного режима, копм перезагружается, запускаемые утилиты закрываются....
уф. вроде все описал.
Прошу спасения...
З.Ы. при запуске всевозможных утилит от Марка Руссиновича (редактор автозапуска например) компьютер либо перезагружается либо перезапускается exporer.
Последний раз редактировалось Numb; 23.12.2009 в 12:26.
Причина: карантин в теме
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 57
Видимо все же архив оказался карантином...
Приношу извинения. Прошу не карать сильно...
Можно ли узнать дальнейшую судьбу карантина? И что можно предпринять для лечения?
-
DLL в папке recycled детектится антивирусом Касперского, как троянская программа Packed.Win32.Krap.w.
Пофиксите с помощью Hijackthis строчки:
Код:
O4 - HKLM\..\Policies\Explorer\Run: []
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\ghgrvi.dll
, перезагрузите машину и попробуйте сделать логи AVZ. Если не получится, попробуйте на другой машине записать Live CD от Касперского - ftp://devbuilds.kaspersky-labs.com/d...escue_2008.iso - и проверить с его помощью проблемную машину.
-
-
Junior Member
- Вес репутации
- 57
C ЛайвСД был запущен AVPTool, вылечено куча dll (информация о лечении в log_kaspersky.txt), далее сделал логи, прикрепляю. (Hijackthis_do - лог до фокса указанных пунктов Hijackthis_posle - после фикса)
-
Пофиксите с помощью Hijackthis строчку:
Код:
O4 - Startup: _uninst_setup_9.0.0.722_23.12.2009_08-58.exe.lnk = ?
Программа AVZ - файл - выполнить скрипт - выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sistray.exe','');
QuarantineFile('C:\WINDOWS\system32\ghgrvi.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\_uninst_setup_9.0.0.722_23.12.2009_08-58.exe.bat','');
DeleteFile('C:\WINDOWS\system32\ghgrvi.dll');
BC_DeleteFile('C:\WINDOWS\system32\ghgrvi.dll');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
executerepair(1);
executerepair(6);
executerepair(8);
executerepair(11);
executerepair(17);
RebootWindows(true);
end.
После перезагрузки, карантин AVZ, если будет не пустой, загрузите по ссылке "Прислать запрошенный карантин" в шапке темы, как написано в прил.3 правил, и сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 57
-
В логах, по-моему, чисто.
Информер убран?
Стандартная рекомендация: если Windows XP лицензионная, установите SP3 + последующие обновления, доступные через Windows update
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
Numb
В логах, по-моему, чисто.
Информер убран?
убран
Сообщение от
Numb
Стандартная рекомендация: если Windows XP лицензионная, установите SP3 + последующие обновления, доступные через Windows update
С эти сложнее
Спасибо за помощь.
DrWeb второй раз подвел, его рейтинг в моих глазах конечно упал...
(в первый раз и касперский не помог и все остальные...)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-