-
Junior Member
- Вес репутации
- 53
Помогите разблокировать компьютер от eKAV
eKAV требует отправить СМС
На данный момент выполнил все пункты для подготовки логов (см. вложения), но:
- не возможно запускать скрипты и программы от Администратора (вирус настроил вход от User);
- не возможно отключить восстановление системы.
ПОМОГИТЕ !!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\TEMP\jhhijvy.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\TEMP\jhhijvy.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\TEMP\jhhijvy.dll', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=66063
4. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Высылаю virusinfo_syscheck.zip
После выполнения предложенных скриптов появилась возможность управления восстановлением скриптов, запуска диспетчера задач.
ЖИЗНЬ НАЛАЖИВАЕТСЯ !!! СПАСИБО !!!
Однако попытка запустить свой антивирус (AVIRA) закончилась неудачей - запуск запрещен политикой безопасности.
Высылаю virusinfo_syscheck.zip
Что делать дальше?
-
Ничего плохого не видно.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Все хорошо, что хорошо
С вирусом, похоже, разобрался (ОРГОМНОЕ СПАСИБО virusinfo.info)
С запуском своего антивируса тоже. Для этого в "Панель управления"-"Администрирование"-"Просмотр событий" детальней изучил сообщение при ошибке запуска службы avguard.exe :
"Доступ к C:\Program Files\Avira\AntiVir Desktop\avguard.exe был ограничен Администратором по расположению правилом политики {b117e3aa-75ce-4b2a-99a4-0f8d0a490933}, расположенной в C:\Program Files\Avira"
Выделенный красным ключ скопировал в буфер и задал как критерий поиска в regedit.exe.
Так и нашлась политика, которая указыва на каталог "C:\Program Files\Avira". Из предосторожности не стал ее удалять, а только лишь отредактировал на "C:\Program Files\Avira1".
Все заработало.
Добавлено через 5 минут
Кстати, хорошая мысль насчет SP3.
Я пробовал, но после обновления через Интернет WINDOWS требует активацию, и никакой WindowsUpdate не помогает.
Может кто знает, в чем причина и что можно сделать?
Заранее благодарен.
Последний раз редактировалось SergeyB; 06.01.2010 в 15:40.
Причина: Добавлено
-
Сообщение от
SergeyB
Кстати, хорошая мысль насчет SP3.
Я пробовал, но после обновления через Интернет WINDOWS требует активацию, и никакой WindowsUpdate не помогает.
Может кто знает, в чем причина и что можно сделать?
Причина в отсутствии лицензии.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.adqc ( BitDefender: Trojan.Generic.2963595, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-