-
Junior Member
- Вес репутации
- 52
После вируса Windows не грузится в безопасном режиме
Здравствуйте!
Поймал блокировщика Windows с окном-вымогателем на экране, разблокировал его с помощью подбора кода на сайте Лаборатории Касперского, затем лечил Dr. Web CureIt! и Eset Smart Security4 (установлена у меня постоянно). Что-то нашел, удалил/вылечил, но сейчас уже не помню названий.
На данный момент остались проблемы: 1) ноутбук не загружается в безопасном режиме и 2) на Eset Smart Security4 не работает файервол (пишет "Персональный файервол не функционирует надлежащим образом" и "Правила персонального файервола не могут быть преобразованы по неизвестной причине").
В процессе подготовки логов для темы AVZ нашел подозрительный объект.
Помогите пожалуйста справиться с этими неприятностями!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
Пофиксить в Hijack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~DFA1E4.tmp','');
QuarantineFile('C:\Program Files\plugin.exe','');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\~DFA1E4.tmp');
BC_ImportAll;
ExecuteSysClean;
Executerepair(10);
Executerepair(13);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 52
Пофиксил, выполнил скрипт и направляю логи
Добрый день!
Сегодня выполнил ваши инструкции, направляю логи.
Вчера после создания данной темы при очередном открытии Инернет Эксплорера опять появилось окно-вымогатель. Опять разблокировал с помощью сайта Лаборатории Касперского, опять просканировал Dr.Web CureIt! и Eset Smart Security4 - ничего опасного/подозрительного не обнаружилось.
Последний раз редактировалось Mikhai; 21.03.2010 в 13:09.
Причина: неверно была указана тема сообщения
-
В логах чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 52
Добрый вечер!
Нет - все еще не загружается в безопасном режиме и на Eset Smart Security4 все еще не работает файервол (эту проблему могу попробовать решить переустановкой программы?).
Но в общем система стала работать быстрее.
-
-
-
Junior Member
- Вес репутации
- 52
Направляю лог MBAM
С найденным вирусом ничего не делал, программу Malwarebytes' Anti-Malware не закрыл. Жду указаний!
-
Удалите в MBAM
Код:
Заражено файлов:
C:\Documents and Settings\Admin\Local Settings\Temp\d.exe (Trojan.Dropper) -> No action taken.
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
нашел подозрительный объект
Доброе время суток!
Eset Smart Security4 обнаружил подозрительный объект: (C:\DOCUME~1\Admin\LOCALS~1\Temp\1F1.tmp
Я попытался его в AVZ принудительно добавить в карантин, но получил вот такое сообщение программы: "Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\Admin\LOCALS~1\Temp\1F1.tmp)
Карантин с использованием прямого чтения - ошибка"
Может он и есть корень зла?
Новый лог MBAM высылаю следующим сообщением.
-
Junior Member
- Вес репутации
- 52
-
В логе чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 52
не работает
Windows в безопасном режиме не загружается и файервол на Eset Smart Security4 не работает.
Направляю лог gmer.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(10);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Отпишитесь
-
-
Junior Member
- Вес репутации
- 52
Выполнил скрипт, началась перезагрузка, но так и не завершилась - зависла с синим экраном и указателем мыши на нем. Пришлось выключать кнопкой Power. При загрузке опять попробовал загрузить в Безопасном режиме... не получилось - также как и раньше после выбора загрузки в Безопасном режиме и операционной системы (хотя она у меня и так всегда была одна) зависает с мигающим курсором в левом верхнем углу.
-
Выполните следующее:
1. кнопка Пуск - Выполнить ввести cmd нажать Enter;
2. ввести chkdsk c: /r /f нажать Enter. Выскочит сообщение вида:"Невозможно выполнить команду chkdsk ......"
Нажмите клавишу Y;
3. введите exit затем нажать Enter;
4. перезагрузите ПК, во время перезагрузки будет выполнена проверка и исправление ошибок.
-
-
Junior Member
- Вес репутации
- 52
выполнил
Выполнил инструкции. При очередной попытке запустить в безопасном режиме опять был черный экран с мигающим курсором, оставил ноут включенным на неопределенное время (в ближайшие 15 минут ничего не происходило). Через 6 часов система уже загрузилась в безопасном режиме. Запустил проверку утилитой Лаборатории Касперского в автоматическом режиме. Как будет результат - отпишусь.
Посоветуйте, пожалуйста, что делать с Eset Smart Security4 - файервол не работает. Могу попробовать переустановить программу, но это нужно сделать правильно (там в списке карантина находится 29 файлов, пойманных в разное время, а что с ними будет при деинсталляции я не знаю).
-
Сообщение от
Mikhai
Посоветуйте, пожалуйста, что делать с Eset Smart Security4 - файервол не работает. Могу попробовать переустановить программу, но это нужно сделать правильно (там в списке карантина находится 29 файлов, пойманных в разное время, а что с ними будет при деинсталляции я не знаю)
Очистите карантин и переустановите Eset Smart Security4
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
shapel
Очистите карантин и переустановите Eset Smart Security4
Там в программе в контекстном меню карантина предлагается только такой вариант - "Удалить из карантина". Это имеется в виду?
-
-
-
Junior Member
- Вес репутации
- 52
Спасибо за Ваши советы!
С Eset Smart Security4 разобрался - переустановил, теперь файервол работает.
Осталось одно неудобство - загрузка в Безопасном режиме и завершение работы после него занимает примерно по 30 минут
Если это возможно исправить, то буду очень признателен! Если нет, то не беда.
Еще проверил в Безопасном режиме утилитой AVZ, направляю лог отчета по результатам проверки. Посмотрите пожалуйста, особенно меня смущают такие записи:
"...
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
...
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
..."
Если это не опасно, то не смею больше Вас беспокоить!