Был вирус Internet Security вроде как избавился, но не запускается практически ни одна программа, диспетчер задач заблокирован.
Заранее благодарен за помощь.
Был вирус Internet Security вроде как избавился, но не запускается практически ни одна программа, диспетчер задач заблокирован.
Заранее благодарен за помощь.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} QuarantineFile('C:\WINDOWS\system32\Winupdates\update.exe',''); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{93344865-74BD-4873-BE65-56539D41A65C}'); QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\~TMD.tmp',''); QuarantineFile('C:\WINDOWS\System32\Drivers\avvtc4j6.SYS',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\3g6DK8Hv.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\hhdufkjtp.dll',''); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\hhdufkjtp.dll'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\3g6DK8Hv.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\~TMD.tmp'); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe'); DeleteFile('C:\WINDOWS\system32\Winupdates\update.exe'); DelCLSID('07B02C90-AB09-5CF1-2D55-5E711C739529'); RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\DOCUME~1\User\LOCALS~1\Temp\hhdufkjtp.dll', ''), ',,', ',')); {удаление AppInit_DLL} DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true); DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); {разблокировка диспетчера задач} ExecuteRepair(17); {разблокировка редактора реестра} SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Спасибо. Вроде как все нормально, но Др.Веб не запускается пишет что прав не достаточно.
Карантин где?
Добавлено через 4 минуты
Выполните скрипт:
Система перезагрузится. Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)Код:procedure FixUpdate; var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; end; Begin FixUpdate; RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\Eventlog\System\SISNIC', 'EventMessageFile', 'C:\WINDOWS\System32\netevent.dll'); RebootWindows(false); end.
virusinfo_syscheck.zip
Последний раз редактировалось gjf; 12.01.2010 в 13:52. Причина: Добавлено
Извиняюсь, сделал.
Сделал
Больше ничего вредоносного в логах не видно.
Попробуем восстановить антивирус: выполните скрипт:
Заработал?Код:begin ExecuteRepair(6); end.
Да, спасибо за помощь. =)
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\главное меню\программы\автозагрузка\siszyd32.exe - Packed.Win32.Katusha.e ( DrWEB: Trojan.Botnetlog.138, BitDefender: Worm.Generic.219975, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\user\locals~1\temp\hhdufkjtp.dll - Trojan-Downloader.Win32.Piker.bnz ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\user\locals~1\temp\~tmd.tmp - Trojan-Proxy.Win32.Small.aev ( DrWEB: Trojan.Proxy.6207 )
Уважаемый(ая) jOiNt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.