-
Junior Member
- Вес репутации
- 60
Вирус не дает запускать экзешники даже в безопасном режиме
Появился вирус банер-вымогатель. При вводе кода с сервиса на сайте касперского банер удаляется, но при запуске любого экзешника снова выскакивает. Антивирусные программы не запускаются (eset, avptool, сьюит). При попытке запустить avz даже полиморфный - ПК выключается. Все то же самое происходит в безопасном режиме. При проверке с live cd были найдены 3 вируса и удалены, но проблема не решилась. Реестр, диспетчер задач заблокированы. Есть ли какие возможности решить такую задачу? Заранее благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
При проверке с live cd были найдены 3 вируса и удалены, но проблема не решилась.
---
С этого live cd редактировать реестр возможно?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
-
Посмотрите в реестре:
ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр Содержимое этого параметра в своем сообщении напишите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Значение "С:\windows\system32\tum.dll"
-
-переименуйте файл С:\windows\system32\tum.dll
- очистите значение параметра AppInit_DLLs
- если есть файл systems.exe файл в папке Documents and Settings\All Users - переименуйте го
попробуйте загрузиться и сделать комплект логов по правилам
Последний раз редактировалось polword; 20.05.2010 в 23:07.
-
-
Junior Member
- Вес репутации
- 60
Все сделал, логи сделать удалось, правда сначала ничего не испралял, логи авз сделал, а чтобы trendmicro поставить, исправил проблемы авзшкой.
Последний раз редактировалось bo4karev; 09.12.2010 в 10:37.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\1\Шаблоны\Brengkolang.com','');
DeleteFile('C:\Documents and Settings\1\Шаблоны\Brengkolang.com');
DeleteFile('C:\autorun.inf');
DeleteFile('%windir%\Tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(6);
ExecuteREpair(11);
ExecuteREpair(16);
ExecuteREpair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Все сделал, карантин выслал. Логи прикрепляю.
Последний раз редактировалось bo4karev; 09.12.2010 в 10:37.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\tzchiutx.dll
c:\windows\system32\wrz.dll
c:\windows\system32\njk.dll
c:\windows\system32\q.dll
c:\windows\system32\ctc.dll
c:\windows\system32\vydapjsiw.dll
c:\windows\system32\rrnwve.dll
c:\windows\system32\kfyouwe.dll
c:\windows\system32\fmk.dll
c:\windows\system32\tum__.dll
Driver::
wgqzq
NetSvc::
wgqzq
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось bo4karev; 09.12.2010 в 10:37.
-
А зачем старый лог? Указание выполнили явно неправильно или вообще не выполнили. Переделать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Вроде переделал, только не понял выполнился ли скрипт.
Последний раз редактировалось bo4karev; 09.12.2010 в 10:37.
-
Вот теперь порядок. Чисто
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
Удалите ComboFix
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Карантин выслал. Спасибо за помощь. Советы, выполню!
-
Карантин получен. Спасибо
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-