-
Junior Member
- Вес репутации
- 53
Проблема с безопасным режимом
Значит по порядку.
1. Стоит Авира Фри. Зонтик закрыт.
2. При прогоне винта на чистом компе та же Авира, AVRTool и CureIt ничего не нашли.
3. После работы с флешкой на больном компе постоянно появляется файл Авторан.
4. Самое главное. При попытке загрузится в безопасном режиме комп уходит в перезагрузку. То есть выбираю безопасный режим и комп просто перезагружается.
5. Комп закрывает GSvr.exe и svchost.exe.
Вопрос. Выкладывать логи, сделанные в нормальном режиме или что то еще сделать перед этим?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Fidel
Выкладывать логи, сделанные в нормальном режиме
Да.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Высылаю логи.
Второй лог AVZ был сделан без подключения к сети, ибо при сканировании AVZ дошел до количества запущенных программ, затем вылетел svchost.exe и комп повис наглухо.
-
Пофиксите в HijackThis:
Код:
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll (file missing)
O3 - Toolbar: (no name) - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O9 - Extra button: Spy - {16664849-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll (file missing)
O9 - Extra 'Tools' menuitem: MSIE &Spy - {16664849-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wmitpkd.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\SaiH0464.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\gtjebhcw.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\gtjebhcw.sys');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67546).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сделайте дополнительно лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Карантин:
Файл сохранён как100121_044453_virus_4b57b1951cec2.zip
Размер файла 9167726
MD5feecfcdb732d7a2623d7fd7770cd0f39
Файл закачан, спасибо!
Высылаю новые логи.
Последний раз редактировалось Fidel; 21.01.2010 в 11:00.
-
Junior Member
- Вес репутации
- 53
Еще обратил внимание, но как-то забыл отметить. Не удается сделать видимыми скрытые файлы.
И еще вопрос. Если на компе 2 пользователя, на втором тоже нужны логи?
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\erjnvhzq.dll','');
DeleteFile('C:\WINDOWS\system32\erjnvhzq.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\eyjounzzv');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\eyjounzzv\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\eyjounzzv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\eyjounzzv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\eyjounzzv\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\eyjounzzv');
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
И от второго пользователя сделайте на всякий случай.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Прикладываю новые логи.
При выполнении скрипта убился процесс GSvr.exe.
После перезагрузки еще раз вылетело это же сообщение, после повторной перезагрузки все норм.
Последний раз редактировалось Fidel; 22.01.2010 в 04:40.
-
Junior Member
- Вес репутации
- 53
Высылаю логи со второго пользователя.
При загрузке системы вылетает сообщение, скрин приложил.
В папках юзеров появились файлы ntuser.dat
-
Junior Member
- Вес репутации
- 53
Братец, про мну не забыл? )
-
Для второго пользователя выполните скрипт в AVZ:
Код:
begin
RegKeyParamDel( 'HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RebootWindows(true);
end.
Компьютер перезагрузится.
В папках юзеров появились файлы ntuser.dat
Они там были всегда.
Это пользовательская часть реестра, не трогайте.
В логах больше ничего плохого.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения вредоносные программы в карантинах не обнаружены
-