-
Junior Member
- Вес репутации
- 52
Не запускется *.EXE в том числе и AVZ
Добрый день всем! Проблема заключается в том что после того как программа вымогатель инфицировала ситстему, запуск (*.cmd,*.exe,*.msi) файлов невозможна, ранее изучая подобные проблемы на нашем форуме, я воспользовался советами по поводу разблокировки диспетчера и реестра,но как оказалось gpedit.msc тоже не запускается, доступ к реестру смог наладить с помощью (uphclean-setup.msi), все остальные *.msi ссылаются на инсталер,который в свою очередь не справляется. Безопасный режим не работает, AVZ - запускается, но тотчас завершается сеанс виндоса, любая попытка приводит к выключению. Строки типа (DisabeRegistryTools и DisableTaskMgr) удалил с помощью программы (uphclean-setup.msi) но чтобы её запустить надо успеть в трее на неё нажать, тогда можно произвести поиск нужных ключей, но после перезагрузки или ресета всё остаётся таким как было.
Единственное что могу сказать, что поведение вируса заставляет заметить как основной рабочий стол и всё что с этим связано - подменивается, такое впечатление будто принцип похож на (ShadowUser), кроме того не важно что будет написано на окне программы вымогателя, по всей видимости вирусом используется подбор установленных програм, и внедрение себя в эту программу, для того чтоб пользователь думал что это не вирус.
Загрузка с Лайв-СД и DR.Web,AVP Tools, - последние обновления ничего не дали, тоесть безрезультатно. Есть какие соображения по даному поводу, или придётся лопатить реестр?
Логи с удовольствием отправил бы, только не стартует АВЗ, хиджак тоже не работает.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Попробуйте узнать код разблокировки с помощью вот этого сервиса (или вот этого и вот этого). Если код не поможет, продолжайте по следующим пунктам. Если поможет - переходите сразу к пункту 6.
2. Скачайте вот эту утилиту.
3. Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь, после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
4. После сканирования находясь в системе, загруженной с LiveCD, выполните поиск и однозначно удалите следующие файлы:
Код:
siszyd32.exe (везде на диске С)
av_md.exe (везде на диске С)
restorer64_a.exe (везде на диске С)
userinit.sys (везде на диске С)
sdra64.exe (везде на диске С)
C:\WINDOWS\TEMP\ (удалить всё в этой папке)
Мы были бы благодарны Вам, если бы все эти файлы Вы запаковали в zip-архив с паролем virus и прислали в карантин согласно Правил (Приложение 3).. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.
5. После этого запустите скаченный ADSSpy.exe.
5.1. Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
5.2. Нажмите кнопку Scan the system for alternate data stream.
5.3. На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите View stream contents.
5.4. Нажмите кнопку Save to disk и сохраните файл с именем похожим на то, что написано внизу окна ADS Spy в строчке Viewing content of .....
5.5. После этого нажмите кнопку Back и для указанных выше двух потоков однозначно нажмите кнопку Remove selected streams, удалив зловредные потоки с машины. Внимание: удалять только те потоки, которые я указал!
5.6. Повторите процедуру начиная с пункта 3.3 для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить).
5.7. Запакуйте сохраненные файлы в zip-архив с паролем virus и пришлите в карантин согласно Правил (Приложение 3).
6. После этого попробуйте загрузить систему и получить полные логи по Правилам.
-