-
Junior Member
- Вес репутации
- 50
Вирус заблокировал все антивирусы и меню Пуск
Добрый день! Помогите пожалуйста с проблемой.
Windows XP, Service Pack 3. IE 7, NOD32
Вирус не дает открыть AVZ, Hijack, kidokiller даже папочки с именем AVZ сразу закрывает, так же как и поисковики с буквами AVZ. Перименование тоже не дает никакого эффекта. Через каждые минут 5-10 вылазиет меню Пуск с предложением выключить компьютер. Кнопка в меню Пуск - Выполнить тоже не работает, сворачивается мгновенно. Работает только Cureit.exe, но он нашел только один вирус в формате pdf. Все это происходит под пользователем с правами Администратора, под вторым пользователем без прав все ок, где я и обновил успешно AVZ и Cureit и зашел на нужные сайты. Но под админом все глухо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Давайте попробуем сделать так:
- скачайте AVPtool
- установите и запустите его
- откройте вкладку Ручное лечение
- Нажмите кнопку «Сбор информации о системе».
- создавшийся лог прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 50
Скачал, но он не устанавливается. Под одним пользователем требует права админа, а под админом на выборе языков - вылетает.
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 50
Все сделал
параметр userinit
c:\windows\system32\userinit.exe,\\?\globalroot\sy stemroot\system32\pivbepj.exe,\\?\globalroot\syste mroot\system32\2hmxdje.exe,\\?\globalroot\systemro ot\system32\zbzj6cw.exe,\\?\globalroot\systemroot\ system32\w47xkm0.exe,
параметр shell
Explorer.exe, C:\Program Files\Common Files\UniCam SoftWare\svhost.exe
Папочек winlogon оказалось 2 штуки. Одна с большой буквы другая с маленькой в ней только параметр shell. Информация по userinit и shell взята из первой папки.
-
Придаем такой вид
параметр userinit
c:\windows\system32\userinit.exe,
параметр shell
Explorer.exe
Сообщение от
JohnBerk
другая с маленькой в ней только параметр shell
Эту "папку" удаляем
Пробуем подготовить логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Все сделал как сказали.
Антивирусы заработали. AVZ открылся и успешно обновился.
-
Дальше
Сообщение от
thyrex
Пробуем подготовить логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\DoctorWeb\Quarantine\sfcfiles.dll','');
QuarantineFile('C:\Program Files\Common Files\UniCam SoftWare\svhost.exe','');
DeleteFile('C:\Program Files\Common Files\UniCam SoftWare\svhost.exe');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\1208.exe','');
DeleteFile('C:\WINDOWS\system32\1208.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Смените все пароли
Сделайте новые логи
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
-
Пофиксите в HiJack
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B088638-4162-456E-94D2-4AFFE6F769DB}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{8636A2D5-C98B-4F45-BD94-3DB96CEE0628}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{A76D16AE-301C-4C81-8638-834ACD4DAD67}: NameServer = 188.92.73.123,188.92.73.124
В исключениях брандмауэра удалите записи о
Код:
"C:\DOCUME~1\Admin\LOCALS~1\Temp\460D.tmp"="C:\DOCUME~1\Admin\LOCALS~1\Temp\460D.tmp:*:Enabled:RASS Server"
"C:\DOCUME~1\Admin\LOCALS~1\Temp\464C.exe"="C:\DOCUME~1\Admin\LOCALS~1\Temp\464C.exe:*:Enabled:Microsoft Windows Update Platform"
"C:\DOCUME~1\Admin\LOCALS~1\Temp\4A4D.tmp"="C:\DOCUME~1\Admin\LOCALS~1\Temp\4A4D.tmp:*:Enabled:RASS Server"
"C:\DOCUME~1\Admin\LOCALS~1\Temp\1E8B.tmp"="C:\DOCUME~1\Admin\LOCALS~1\Temp\1E8B.tmp:*:Enabled:RASS Server"
"C:\DOCUME~1\Admin\LOCALS~1\Temp\22AC.exe"="C:\DOCUME~1\Admin\LOCALS~1\Temp\22AC.exe:*:Enabled:Microsoft Windows Update Platform"
"C:\DOCUME~1\Admin\LOCALS~1\Temp\256A.exe"="C:\DOCUME~1\Admin\LOCALS~1\Temp\256A.exe:*:Enabled:Microsoft Windows Update Platform"
"C:\DOCUME~1\Admin\LOCALS~1\Temp\2683.exe"="C:\DOCUME~1\Admin\LOCALS~1\Temp\2683.exe:*:Enabled:Microsoft Windows Update Platform"
"C:\DOCUME~1\Admin\LOCALS~1\Temp\1208.exe"="C:\DOCUME~1\Admin\LOCALS~1\Temp\1208.exe:*:Enabled:Microsoft Windows Update Platform"
Файл C:\Program Files\Common Files\keylog.txt и скрытую папку C:\WINDOWS\system32\lowsec удалите вручную
Выполните скрипт в AVZ
Код:
begin
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
C:\Program Files\Common Files\keylog.txt удалил,
C:\WINDOWS\system32\lowsec этой папки при отображении скрытых папок и файлов нет (не обнаружил).
В брандмауэре на закладке Исключения указаных файлов нет. В самой папке C:\DOCUME~1\Admin\LOCALS~1\Temp\460D.tmp..... их тоже не нашел.
thyrex подскажите пожалуйста, что не правильно делаю?
-
Сообщение от
JohnBerk
C:\WINDOWS\system32\lowsec этой папки при отображении скрытых папок и файлов нет (не обнаружил).
Сделайте лог полного сканирования МВАМ
Сообщение от
JohnBerk
В брандмауэре на закладке Исключения указаных файлов нет.
Посмотрите ветку реестра
Код:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
направляю mbam-отчет
p.s. заданные файлы по указанному пути в реестре удалил
-
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\javacpl (Spyware.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00001.dta (Adware.TMAagent) -> No action taken.
C:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.
-Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Java\jre1.6.0_07\bin\java.exe ','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 50
Лог mbam после удаления ключей, папок, файлов.
-
Junior Member
- Вес репутации
- 50
На загрузку карантина пишет ошибку "Такой файл уже был загружен". Поменял имя на quarantine1.zip - пишет тоже самое.
-
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.3 или удалите старый.
-