-
Junior Member
- Вес репутации
- 57
Система нестабильна, многое не работает
Компьютер не грузится в безопасном режиме, просто перезагружается после загрузки файлов. Пробывал сканировать утилитой CureIt в обычном режиме, находит много вирусов, но ничего с ними сделать не может, ни вылечить, ни удалить, просто ничего не происходит при нажатии соответсвующих клавиш (запускаю от имени администратора).Восстановление системы отключить не удается, пишет про ошибку отключения устройства. Так же нельзя копировать файлы, поэтому AVZ (123.exe) и HijackThis запускал с переносного винчестера. При выполнении второго пунтка правил, не стал подключать к сети, т.к. вирусы могут "разойтись" по ней.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\28463\svchost.exe');
TerminateProcessByName('c:\windows\system32\regsvr.exe');
QuarantineFile('C:\WINDOWS\system32\28463\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-D461CDF4.EXE','');
QuarantineFile('C:\Feast\Ival\Feast.exe','');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\player32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3420008289-8698290860-096685027-1422\MsMxEng.exe','');
QuarantineFile('C:\WINDOWS\system32\regsvr.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\USBSYSTEM/usp.exe','');
DeleteFile('F:\USBSYSTEM/usp.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\RECYCLER\S-1-5-21-3420008289-8698290860-096685027-1422\MsMxEng.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\player32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe');
DeleteFile('C:\WINDOWS\system32\regsvr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Msn Messsenger');
DeleteFile('C:\WINDOWS\system32\XP-D461CDF4.EXE');
DeleteFile('C:\WINDOWS\system32\28463\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost Agent');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 57
Извините, но Восстановление системы так и не могу отключить. Так же не доступен Диспетчер задач и на панели задач не показываются открытые окна. Так же не могу посмотреть включен ли Файрвол, т.к. не открываются его настройки, службы тоже недоступны
-
У Вас файловый вирус, пролечитесь так - http://virusinfo.info/showthread.php?t=15927 со всеми подключенными съёмными носителями
-
-
Junior Member
- Вес репутации
- 57
Сделал, как указано по ссылке, сперва проверил CureIt с CD диска, затем подключил к другому компьютеру и проверил касперским. Теперь у меня опустилась вниз панель задач и ее нельзя поднять, не реагирует на клавижу Win, так же пропала вкладка Восстановление системы
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('dac970nt');
QuarantineFile('C:\WINDOWS\system32\drivers\nphrr.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\nphrr.sys');
BC_DeleteSvc('dac970nt');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
ExecuteRepair(14);
ExecuteRepair(17);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
Последний раз редактировалось olejah; 22.09.2010 в 16:19.
-
-
Junior Member
- Вес репутации
- 57
Извиняюсь, но я решил переустановить Windows, т.к. он вообще перестал загружаться ни в обычном режиме ни в безопасном, да еще и клиент подгоняет. Спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\feast\\ival\\feast.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.11, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAT virus, AVAST4: Win32:Kukacka )
- c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\player32.exe - Worm.Win32.AutoRun.eqo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Packer.Malware.LDPinch.A, AVAST4: Win32:AutoRun-AVM [Wrm] )
- c:\\recycler\\s-1-5-21-3420008289-8698290860-096685027-1422\\msmxeng.exe - Trojan.Win32.Agent2.clxa ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2636803, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\regsvr.exe - Trojan.Win32.Autoit.ci ( DrWEB: Trojan.Click1.37970, BitDefender: Worm.Generic.42291, NOD32: Win32/Sality.NAT virus, AVAST4: Win32:Sality )
- c:\\windows\\system32\\28463\\svchost.exe - not-a-virus:Monitor.Win32.Ardamax.te ( DrWEB: Program.Ardamax, BitDefender: Application.Ardamax.Keylogger.F, AVAST4: Win32:Ardamax-PF [Spy] )
- f:\\usbsystem/usp.exe - Packed.Win32.Katusha.o ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAT virus, AVAST4: Win32:Kukacka )
-