Показано с 1 по 17 из 17.

Вирус не дает запускать экзешники даже в безопасном режиме (заявка № 78865)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    316
    Вес репутации
    60

    Exclamation Вирус не дает запускать экзешники даже в безопасном режиме

    Появился вирус банер-вымогатель. При вводе кода с сервиса на сайте касперского банер удаляется, но при запуске любого экзешника снова выскакивает. Антивирусные программы не запускаются (eset, avptool, сьюит). При попытке запустить avz даже полиморфный - ПК выключается. Все то же самое происходит в безопасном режиме. При проверке с live cd были найдены 3 вируса и удалены, но проблема не решилась. Реестр, диспетчер задач заблокированы. Есть ли какие возможности решить такую задачу? Заранее благодарен.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    При проверке с live cd были найдены 3 вируса и удалены, но проблема не решилась.
    ---
    С этого live cd редактировать реестр возможно?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    316
    Вес репутации
    60
    Да возможно!

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Содержимое этого параметра в своем сообщении напишите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    316
    Вес репутации
    60
    Значение "С:\windows\system32\tum.dll"

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    -переименуйте файл С:\windows\system32\tum.dll
    - очистите значение параметра AppInit_DLLs
    - если есть файл systems.exe файл в папке Documents and Settings\All Users - переименуйте го
    попробуйте загрузиться и сделать комплект логов по правилам
    Последний раз редактировалось polword; 20.05.2010 в 23:07.

  8. #7
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    316
    Вес репутации
    60
    Все сделал, логи сделать удалось, правда сначала ничего не испралял, логи авз сделал, а чтобы trendmicro поставить, исправил проблемы авзшкой.
    Последний раз редактировалось bo4karev; 09.12.2010 в 10:37.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\Documents and Settings\1\Шаблоны\Brengkolang.com','');
     DeleteFile('C:\Documents and Settings\1\Шаблоны\Brengkolang.com');
     DeleteFile('C:\autorun.inf');
    DeleteFile('%windir%\Tasks\At1.job');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(6);
    ExecuteREpair(11);
    ExecuteREpair(16);
    ExecuteREpair(17);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    316
    Вес репутации
    60
    Все сделал, карантин выслал. Логи прикрепляю.
    Последний раз редактировалось bo4karev; 09.12.2010 в 10:37.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\tzchiutx.dll
    c:\windows\system32\wrz.dll
    c:\windows\system32\njk.dll
    c:\windows\system32\q.dll
    c:\windows\system32\ctc.dll
    c:\windows\system32\vydapjsiw.dll
    c:\windows\system32\rrnwve.dll
    c:\windows\system32\kfyouwe.dll
    c:\windows\system32\fmk.dll
    c:\windows\system32\tum__.dll
    
    Driver::
    wgqzq
    
    NetSvc::
    wgqzq
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    316
    Вес репутации
    60
    Сделал.
    Последний раз редактировалось bo4karev; 09.12.2010 в 10:37.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    А зачем старый лог? Указание выполнили явно неправильно или вообще не выполнили. Переделать
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    316
    Вес репутации
    60
    Вроде переделал, только не понял выполнился ли скрипт.
    Последний раз редактировалось bo4karev; 09.12.2010 в 10:37.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Вот теперь порядок. Чисто

    Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
    Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.

    Удалите ComboFix

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Adobe Acrobat 9.3 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    316
    Вес репутации
    60
    Карантин выслал. Спасибо за помощь. Советы, выполню!

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Карантин получен. Спасибо
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) bo4karev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 23.06.2012, 20:02
    2. Ответов: 3
      Последнее сообщение: 22.05.2012, 11:48
    3. Порнобанер даже в безопасном режиме!
      От Plate в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 30.11.2009, 22:43
    4. Ответов: 7
      Последнее сообщение: 10.09.2009, 19:50
    5. Windows не загружается даже в безопасном режиме
      От ЭЛЬФийка в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.07.2009, 23:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01194 seconds with 19 queries