-
Junior Member
- Вес репутации
- 52
Блокировка после загрузки WINDOWS (syszyd32.exe)
Компьютер был заблокирован вирусом, требующим код активации, получаемый через СМС.
1)Подобрал код с помощью таблицы.
2)Удалил из автозагрузки и физически с диска файл syszyd32.exe.
Теперь после запуска меню пуск и системный трей недоступны в течении 10-20 минут.
Выполнил алгоритм virusinfo.info, результаты ниже.
Заранее спасибо за помощь.
Последний раз редактировалось pig; 28.01.2010 в 16:25.
Причина: карантин в теме - моветон
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 52
Подскажите уже что-нибудь, пожалуйста!
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(c:\windows\explorer.exe','');
QuarantineFile('H:\autorun.inf','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Потом такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip из папки AVZ по красной ссылке вверху темы.
Вот это Вам знакомо?
c:\program files\ИНТАЛЕВ\Менеджер лицензий\intalev.licensing.service.exe
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
kps
Выполните скрипт в AVZ:
Код:
begin
***
RebootWindows(true);
end.
Компьютер перезагрузится.
Потом такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip из папки AVZ по красной ссылке вверху темы.
Вот это Вам знакомо?
c:\program files\ИНТАЛЕВ\Менеджер лицензий\intalev.licensing.service.exe
Выполнил.
Компьютер не перезагрузился. Перезагрузил вручную.
Выполнил второй скрипт, результаты выслал.
Все связанное с ИНТАЛЕВ удалил.
Симптомы (зависание меню "ПУСК" и трея после загрузки windows) сохранились.
Спасибо за помощь, жду инструкций.
Последний раз редактировалось solaris; 30.01.2010 в 14:17.
Причина: добавил текста
-
Профиксить в Хиджаке:
Код:
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
PavelA
Профиксить в Хиджаке:
Код:
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
Павел, подскажите, пожалуйста, как это сделать. Дело в том, что я не вижу подобных значений в hijackthis. Есть R*, F* и О*.
-
Сообщение от
solaris
не вижу подобных значений в hijackthis
Значит, проехали. В логе они были.
-
-
Лог Хиджака повторите для контроля.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Done.
Блокировка после загрузки windows сохранилась.
10-15 минут после входа в систему меню пуск, диспетчер задач и системный трей остаются недоступны.
-
профиксить:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
в командной строке: sc delete IntalevLicensingService
Логи AVZ надо прислать полностью, будем долечивать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
PavelA
профиксить:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
в командной строке: sc delete IntalevLicensingService
Логи AVZ надо прислать полностью, будем долечивать.
Сделано.
Лог прикреплен.
-
Не тот, zip-файл из директории LoG надо прислать после выполнения станд. скрипта
№2
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Спасибо, на этот раз постарался следовать инструкции.
Последний раз редактировалось solaris; 04.02.2010 в 13:15.
-
Junior Member
- Вес репутации
- 52
А можно уже что-нибудь ответить?
Заранее спасибо!
-
Выполнить:
Код:
begin
DeleteFile('C:\Documents and Settings\Nikusik\Local Settings\Temp\_uninst_setup_9.0.0.722_27.01.2010_16-25.exe.bat');
ExecuteSysClean;
end.
станд. скрипт №2 повторить. Лог прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-