-
Junior Member
- Вес репутации
- 52
Не отображается рабочий стол
Здравствуйте. Вчера перестал загружаться рабочий стол, ctrl+alt+del работает. Минут через 20 рабочий стол загружается, но на нем невозможно ничего запустить. Пробовал через AVZ выполнить "Удаление отладчиков системных процессов" , "Восстановление ключа запуска Explorer", "Восстановление настроек проводника", но не помогло. Логи прикрепляю (не знаю, правильно ли сделал).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В след. раз просто станд. скрипты запускайте и не мудрите.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\innvmini.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
DeleteFile('ф‘| ±—|К‘|¬Ж');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи после перезагрузки.
Карантин загрузить по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
+ к рекомендации Павла
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (их должно быть три)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Готово, карантин не помещается, сейчас загружу на файлообменник.
Последний раз редактировалось ki11er_91; 07.04.2010 в 16:22.
-
Карантин уберите отсюда и загрузите по красной ссылке Прислать запрошенный карантин вверху темы
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Inf\cyclom-y.PNF:exaSnrGYA9hVo6XcftZV','');
DeleteFile('C:\WINDOWS\Inf\cyclom-y.PNF:exaSnrGYA9hVo6XcftZV');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(12);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните скрипт из темы http://virusinfo.info/showthread.php?t=43700
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\Inf\cyclom-y.PNF:exaSnrGYA9hVo6XcftZV
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\Inf\cyclom-y.PNF:exaSnrGYA9hVo6XcftZV
Что с проблемой?
А можно по-подробнее?
-
Сообщение от
ki11er_91
А можно по-подробнее?
В смысле как пофиксить? См. здесь: http://virusinfo.info/showthread.php?t=4491
-
-
Junior Member
- Вес репутации
- 52
Пофиксил, но проблема осталась.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(8);
Executerepair(9);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Отпишитесь
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил - не помогло.
-
Сделайте лог MBAM и лог Hijack
-
-
Junior Member
- Вес репутации
- 52
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-00we-aax5-77ef1d187322} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-00we-aax5-77ef1d187322} (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
Зараженные файлы:
c:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe (Generic.Bot.H) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Удалил, но без результатов. И ещё вопрос C:\WINDOWS\innounp.exe его надо удалять? http://www.virustotal.com/ru/analisi...b55-1270704630 отчет по файлу на вирустотале.
-
Попробуем так, выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(5);
Executerepair(6);
Executerepair(8);
Executerepair(9);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 52
Выполнил. Теперь фон стал серым, но иконок и пуска так и нет.
-
Сообщение от
ki11er_91
И ещё вопрос C:\WINDOWS\innounp.exe
У Вас система-сборка. Ничего плохого в этом файле нет
Сделайте такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52