-
Junior Member
- Вес репутации
- 53
Не работают NOD32 и Outpost.
Прошу помощи и разъяснения специалистов!
Нахватал где-то заразы так, что перестал в любом режиме загружаться рабочий стол Windows XP3 (апгрейд из ХР2), кроме Win_U ничего не работало. После загрузки с другого винта нашел в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon строку Shell"="explorer.exe logon.exe. Удалил logon.exe - появился рабочий стол, правда при загрузке комп матерился,- то найти чего-то не мог, то память не может быть write и, кроме прочего из трея пропали значки Нода и Оутпоста. При запуске редактора реестра, AVZ, диспетчера задач выкидывало на перезагрузку. Загрузился с рабочего винта и убил Нодом штук 15 всякой дряни. Затем обновив AVZ более-менее восстановил больную систему и поймал еще несколько вирусов. Дальше пролечил свежим Dr. Web CureIt! и отловил еще несколько штук тварей, правда в том числе и закачанный мной exefix_xp.com. Вроде все поправилось, толь при загрузке выскакивало что не может найти "RunDll32.exe C:\\PROGRA~1\\IMAGE-~1\\FLSTUD~1\\OPENCA~1\\OCSETU~1.DLL,_MgrCheck@16" (правда что это такое я не знаю), поэтому из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run удалил строку "OCDLMgr"="RunDll32.exe C:\\PROGRA~1\\IMAGE-~1\\FLSTUD~1\\OPENCA~1\\OCSETU~1.DLL,_MgrCheck@16" , после чего вроде все поправилось.
Дальше попытался переустановить NOD32, установка проходит нормально, но значка в трее не появляется и система безопасности тоже говорит, что антивируса нет. Пытался запустить его принудительно, -пишет "Невозможно открыть данную программу из-за политики ограничения данного программного обеспечения". Однако сервис ESET работает.
Помогите пожалста разобраться с этой хренью!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
O20 - AppInit_DLLs: C:\DOCUME~1\Home\LOCALS~1\Temp\mvbyy.dll prio.dll
R3 - URLSearchHook: (no name) - - (no file)
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Wyeke Service');
StopService('Wyeke Service');
QuarantineFile('C:\Program Files\Wyeke\wyeke.dll','');
QuarantineFile('c:\documents and settings\all users\application data\wyeke\wyeke135.exe','');
QuarantineFile('c:\program files\wyeke\wyeke.exe','');
TerminateProcessByName('c:\program files\wyeke\wyeke.exe');
TerminateProcessByName('c:\documents and settings\all users\application data\wyeke\wyeke135.exe');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke135.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\DOCUME~1\Home\LOCALS~1\Temp\mvbyy.dll','');
DeleteFile('C:\DOCUME~1\Home\LOCALS~1\Temp\mvbyy.dll');
DeleteFilemask('C:\DOCUME~1\Home\LOCALS~1\Temp','*.*',true);
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
DeleteFile('c:\program files\wyeke\wyeke.exe');
DeleteFile('c:\documents and settings\all users\application data\wyeke\wyeke135.exe');
DeleteFile('C:\Program Files\Wyeke\wyeke.dll');
BC_ImportAll;
Executerepair(6);
Executerepair(8);
Executerepair(9);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
shapel, Спасибо за содействие, все сделал как написано, высылаю карантин.
-
-
-
Junior Member
- Вес репутации
- 53
shapel, Высылаю новые логи.
Дополнительно: перед выполнением Вашего скритпта комп был выключен, когда загрузился Нод и Оутпост отобразились в трее, оба вроде работают, только почему то при загрузке на секунду выскакивает сообщение, что антивируса нет и пропадает.
И еще, а что это за прога wyeke.exe?
Заранее спасибо!
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Сейчас ухожу на работу, дсв.
-
Обновите базы АВЗ, переделайте логи.
-
-
Junior Member
- Вес репутации
- 53
Забыл сказать!
Перед предыдущими логами установилось 6 обновлений Windows и IE.
Обновил АВЗ, высылаю логи.
-
Сканирование запущено в 31.01.2010 2:52:01 Загружена база: сигнатуры - 261484, нейропрофили - 2, микропрограммы лечения - 56, база от 28.01.2010 19:43
Этот лог virusinfo_syscure.zip случайно не перепутали? Т.к. virusinfo_syscheck.zip--
Сканирование запущено в 01.02.2010 1:41:00 Загружена база: сигнатуры - 262199, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2010 18:04
Мне нужен лог virusinfo_syscure.zip--результат последнего выполнения ст. скрипта №3
И еще, у Вас установлена данная программа--c:\program files\prio\prio_svc.exe, временно отключите ее и понаблюдайте за системой.
-
-
Junior Member
- Вес репутации
- 53
shapel, Prio деинсталировал. virusinfo_syscure.zip при выполнении скрипта почему-то не меняется после первого раза. Перепутать не мог, т. к. новые логи перезаписывают старые.Кроме описанных в правилах у меня появился в АВЗ virusinfo_files_HOME-B9A06835D6.zip. Может чем другим попытаться сделать или попробовать еще разок?
-
Junior Member
- Вес репутации
- 53
shapel, прошу прощения, я сам видимо стал зависать, отправляю новые вирусинфо-логи.
-
Сделайте лог MBAM
Добавлено через 6 минут
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Image-Line\Downloader\Update\Updater.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Последний раз редактировалось Шапельский Александр; 01.02.2010 в 01:02.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
shapel, отправляю МВАМ-лог и карантин.
-
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wyeke (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\Software\Wyeke (Adware.Agent) -> No action taken.
Заражено папок:
C:\Program Files\Wyeke (Adware.Agent) -> No action taken.
C:\Program Files\WebMoney Advisor\tbhelper.dll (Adware.Ecobar) -> No action taken.
C:\Program Files\Wyeke\uninstall.exe (Adware.Agent) -> No action taken.
К сожалению, карантин пуст. Попробуем еще раз.
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Image-Line\Downloader\Update\Updater.exe','');
QuarantineFile('C:\Downloads\Программы\install_flash_player.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 53
shapel, здравствуйте. Только приехал с работы, сейчас займусь тем, что Вы написали.
Добавлено через 1 час 53 минуты
shapel, отправляю Вам карантин. Сделал все как было написано.
Добавлено через 8 минут
shapel, почему-то при загрузке компа на секунду выскакивает надпись, что Нод отключен и просит нажать для исправления. Нажимаешь на табличку - попадаешь в зентр обеспечения безопасности, где написано, что антивирус включен. В трее Нод также отображен, прекрасно обновляется, при необходимости включается сканирование. Больше вроде проблем нет.
Последний раз редактировалось Operan; 02.02.2010 в 06:43.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 50
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\wyeke\wyeke.dll - not-a-virus:AdWare.Win32.Zwangi.heur ( BitDefender: Gen:Adware.Heur.Ku4@1WEdE@ii )
-