-
Junior Member
- Вес репутации
- 52
Пропал пункт меню "свойства папки" в меню "сервис", а также пропал пункт меню пуск - "выполнить"
Здравствуйте, помогите пожалуйста решить следующую проблему. На компе обнаружили вирусы, в данный момент нет пункта меню "свойства папки" в меню "сервис" проводника. И ещё пропал пункт меню пуск "выполнить". Сочетание клавиш win+r тоже не работает.
Логи приложил.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксить:
Код:
O4 - HKLM\..\Run: [patches] 1
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
Перезагрузиться. Посвторить лог Хиджака.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
к сожалению, не помогает, после перезагрузки проблема остаётся как и строка O4 - HKLM\..\Run: [patches] 1
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\23.exe','');
QuarantineFile('1.exe','');
QuarantineFile('C:\Documents and Settings\tanaeva\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\tanaeva\Application Data\ltzqai.exe');
DeleteFile('1.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
QuarantineFile('C:\RECYCLER\S-1-5-21-2751640946-0882620114-994628400-2315\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0893020898-2724995498-702679050-8711\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2751640946-0882620114-994628400-2315\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0893020898-2724995498-702679050-8711\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
TerminateProcessByName('c:\program files\common files\adobearms.exe');
QuarantineFile('c:\program files\common files\adobearms.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
-
1.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\program files\common files\adobearms.exe');
DeleteFile('c:\program files\common files\adobearms.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\DOFLYYPF\z[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UC24PYU1\n[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ZN4MHJ4A\ll[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ZN4MHJ4A\n[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\DOFLYYPF\z[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UC24PYU1\n[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ZN4MHJ4A\ll[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ZN4MHJ4A\n[1].exe');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
QuarantineFile('C:\WINDOWS\cndrive32.exe','');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\cndrive32.exe');
QuarantineFile('C:\ammyy router\AMMYY_Router.exe','');
DeleteFile('1.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
2. удалите в MBAM все, что останется из этого
Код:
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun (Hijack.Run) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun (Hijack.Run) -> Bad: (1) Good: (0) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\DOFLYYPF\z[1].exe (Trojan.Buzus) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UC24PYU1\n[1].exe (Trojan.Buzus) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ZN4MHJ4A\ll[1].exe (Spyware.OnLineGames) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ZN4MHJ4A\n[1].exe (Trojan.Buzus) -> No action taken.
C:\WINDOWS\system32\26.exe (Trojan.Buzus) -> No action taken.
C:\WINDOWS\system32\42.exe (Trojan.Buzus) -> No action taken.
C:\WINDOWS\cndrive32.exe (Backdoor.IRCBot) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
3. Профиксите в HijackThis если останется
Код:
O4 - HKLM\..\Run: [patches] 1
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
выполнил все скрипты и инструкции.
кажется все проблемы решены
спасибо
-
В логах чисто.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
- Проведите процедуру, которая описана в первом сообщении тут
-
-
Junior Member
- Вес репутации
- 52
всё сделал
ещё раз спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 38
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\tanaeva\application data\ltzqai.exe - Trojan.Win32.Buzus.evva ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KD.23937, AVAST4: Win32:Malware-gen )
- c:\program files\common files\adobearms.exe - Backdoor.Win32.Rbot.aljx
- c:\windows\cndrive32.exe - Trojan.Win32.Buzus.evnh ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Worm.Generic.266665, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\23.exe - Trojan.Win32.Buzus.evei ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.4560472, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\windows\system32\26.exe - Trojan.Win32.Buzus.evei ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.4560472, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\windows\system32\42.exe - Trojan.Win32.Buzus.evei ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.4560472, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
-