-
Junior Member
- Вес репутации
- 62
нет Интернета, персональных настроек, многие программы испорчены и не запускаются
Был отключен антивирус и фаервол. Автозапуск с разных носителей разрешен. ЮСБ флешка оказалась заражена и стала заражать систему. В результате заражения нет Интернета, персональных настроек, многие программы испорчены и не запускаются. И т.д.. Немного почистил, система стала загружаться. Проверьте пожалуйста.
Последний раз редактировалось StepIn; 11.08.2010 в 18:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А кто удалил системный файл C:\WINDOWS\system32\svchost.exe?
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
var j:integer; NumStr:string;
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
DeleteFile('C:\WINDOWS\tasks\At1.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнил. Вот лог.
>>>>>> А кто удалил системный файл C:\WINDOWS\system32\svchost.exe?
По-видимому это сделал вирус. Когда я вставил ЮСБ стик, то отошел на некоторое время от компьютера, а он все это время делал свое грязное дело. Вирус был в основном Win32.HLLW.Autoruner.11962.
Последний раз редактировалось StepIn; 11.08.2010 в 18:33.
-
svchost.exe надо восстановить, взяв с другого компьютера или из дистрибутива Windows.
Автоматичесокое обновление Windows, похоже, сложно будет воостановить, если оно вообще было в этой сборке.
Пофиксте в HijackThis следующие строки:
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe,
O4 - HKCU\..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe
O4 - HKUS\S-1-5-21-73586283-1532298954-1417001333-1003\..\Run: [amva] C:\WINDOWS\system32\amvo.exe (User '?')
O4 - HKUS\S-1-5-21-73586283-1532298954-1417001333-1003\..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe (User '?')
O4 - HKUS\S-1-5-21-73586283-1532298954-1417001333-1003\..\Run: [] (User '?')
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Сделайте новый лог HijackThis и приложите сюда.
-
-
А также
Выполните скрипт в AVZ
Код:
var AutoUpdates : TStrings;
begin
ClearLog;
AutoUpdates:= TStringList.Create;
ExpRegKeyEx('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', AutoUpdates);
ExpRegKeyEx('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', AutoUpdates);
AddToLog(AutoUpdates.Text);
SaveLog('c:\AutoUpdates.log');
AutoUpdates.Free;
end.
c:\AutoUpdates.log прикрепите к сообщению
Последний раз редактировалось thyrex; 01.08.2010 в 22:59.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 62
Пофиксил в HijackThis. Вот новый лог.
>>> svchost.exe надо восстановить, взяв с другого компьютера или из дистрибутива Windows.
Переписал svchost.exe с дистрибутива. Хотя сам файл svchost.exe существовал.
>>> Выполните в AVZ скрипт из файла ScanVuln.txt
Скрипт выполнил. Скачал необходимые обновления. Но установить обновления не удалось. Ошибка: "Setup could not verify the integrity of the file Update.inf. Make sure the Cryptographic service is running on this computer."
>>> Выполните скрипт в AVZ
Скрипт у меня дает ошибку: "Undeclared identifier: 'RegBackUp' in the position 4:11".
Последний раз редактировалось StepIn; 11.08.2010 в 18:33.
-
Сообщение от
StepIn
Скрипт у меня дает ошибку
Поправил. Выполните, пожалуйста
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 62
Скрипт у меня дает ошибку: Identifier expected в позиции 1:19
-
Упс, еще одну ошибку упустил. Исправил.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнил. К сожалению лог пуст. На всякий случай прикрепляю его к сообщению.
Последний раз редактировалось StepIn; 11.08.2010 в 18:33.
-
Скачайте файл во вложении, распакуйте и внесите информацию в реестр двойным кликом левой кнопки мыши на каждом из файлов.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 62
Все сделал, вот новый лог.
Последний раз редактировалось StepIn; 11.08.2010 в 18:33.
-
Что сейчас с проблемой? Автоматическое обновление восстановили.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 62
Нет, ничего не изменилось. Проблема в том, что в системе отсутствует практически все, что касается сети. Попробую описать все это.
В консоли Services (Службы) вкладка Extended как бы пуста, а во вкладке Standard есть список служб. При этом нельзя ничего сделать со службой, ни остановить, ни стартануть, ни даже посмотреть свойства конкретной службы. Точно не могу утверждать, но, кажется, количество служб стало меньше.
Следующее.
Все что касается сети в консоли (My Computer/Properties) лучше показать на рисунках. Изоображения смотрите во вложениях.
А вот что получается, если посмотреть (My Network Places/Properties):
Когда пробуешь сделать что-то сетевыми настройками, получаем сообщение «The Network Connections Folder was unable to retrieve the list of Network adapters on your mashine. Please make sure that the Network Connections service is enabled and running. ».
Скаченные обновления установить не получается. Вот сообщение: «Setup could not verify the integrity of the file Update.inf. Make sure the Cryptographic service is running on this computer. ». При этом обновление Adobe flash player удалось установить.
Я понимаю, что эти проблемы напрямую не относятся к профилю форума, но может быть, уважаемые хелперы, что-то подскажите.
Последний раз редактировалось StepIn; 11.08.2010 в 18:33.
-
Запустите приложенный файл. Перезагрузите компьютер.
Помогло?
-
-
Junior Member
- Вес репутации
- 62
К сожалению, все без изменений.
-
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось StepIn; 11.08.2010 в 18:33.
-
Надо было не просто скопировать файл svchost.ex_ из дистрибутива и переимеровать в svchost.exe. А ещё и разархивировать. Переименуйте его в svchost.zip и распакуйте.
-
-
Junior Member
- Вес репутации
- 62
AndreyKa, спасибо большое! Не знал, что в дистрибутиве файлы архивированы... Когда ранее скопировал svchost.ex_ и переименовал его, заметил, что размер файла меньше обычного, а спросить об этом забыл.
Теперь все работает. Сделаю обновления системы, протестирую, и сделаю новые логи. Еще раз, огромное спасибо!