-
Junior Member
- Вес репутации
- 50
Вирус, блокирует сайты и антивирусы Помогите
Вирус, блокирует некоторые сайты ( например 2ip.ru и некоторые антивирусные сайты) в папке C:\Program Files\Common Files\932913B3a лежит папка keys, также в папке comon files такой вот файл jqyrg4inedzz13m
После удаления через некоторое время восстанавливаються, аваст вируса не видит, Авз, Комбофикс и Malwarebytes при открытии моментально закрываються, так же опытным путем установил, что закрываеться любое окно, которое в названии содержит фразу типо AVZ combofix и тому подобные, даже создавал пустой текстовый файл, называл его AVZ.txt, он тоже моментально закрывался при открытии, так же не открываються антивирусные сайты и темы на форумах где в названии встречаютсья эти слова таким образом, в условиях не запускания ни одной из известным мне антивирусных програм, даже не знаю что с этой заразой делать. Помогите
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Переименуйте папку AVZ, задайте ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
2. Переименуйте avz.exe в что-то типа test.exe, game.pif, program.com
3. Запустите AVZ с ключом: avz.exe ag=y
-
-
Junior Member
- Вес репутации
- 50
Так авз запустился, уже хорошо, не могу прочитать правила, но как я понимаю сейчас нужно сделать стандартный скрипт - лечение/карантин и сбор информации для вирусинфо, сейчас делаю его
-
Почему правила нет возможности прочитать? Если надо, я прикреплю их сюда в архиве.
-
-
Junior Member
- Вес репутации
- 50
На вирусинфо тоже не заходит, все проклятый виурс блокирует, я вообще удивлен, как у меня тут на форум не блокирован доступ
-
Последний раз редактировалось olejah; 25.12.2010 в 10:02.
-
-
Junior Member
- Вес репутации
- 50
Так, не открываеться архив, никакой, пишет что нет прав для этого действия, авз выполнил стандартный скрипт и написал, что создал отчеты, но вот где они? У меня авз распакован в папку на рабочем столе, в ней отчетов нет куда они могли деться?
-
Сделаем так - Пуск - Выполнить - regedit. В реестре найдите -
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
Содержимое этого параметра напишите в своём сообщении.
-
-
Junior Member
- Вес репутации
- 50
Пуск- Выполнить ввожу regedit выскакивает ошибка: отказано в доступе к этому обьекту у вас нет прав хотя вроде вчера, уже после заражения вирусом, я мог и архивы открывать, может это работающий авз мне не дает зайти? потому что вчера все вроде работало и мне не выскакивало сообщения о том что нет прав
-
Да, В программе АВЗ - AVZGuard - Выберите "Отключить AVZGuard" Попробуйте запустить regedit.
-
-
Junior Member
- Вес репутации
- 50
Сделал так :
Модуль для поиска данных в реестре, Зайцев О.В., 2004., http://z-oleg.com/secur
Запущен поиск ключей, содержащих образец "userinit"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\fbbe97ac.exe,C:\WINDOWS\system32\abtacn.exe,C:\ WINDOWS\system32\fcd7dfa1.exe,C:\WINDOWS\system32\ wschgm.exe,C:\WINDOWS\system32\948e096b.exe,C:\WIN DOWS\system32\aoanyi.exe,C:\WINDOWS\system32\tlhnh yg.exe,C:\WINDOWS\system32\cxohjbk.exe,
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\E ventlog\Application\Userinit\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\E ventlog\Application\Userinit\EventMessageFile = %SystemRoot%\System32\userinit.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\E ventlog\Application\Userinit\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\E ventlog\Application\Userinit\EventMessageFile = %SystemRoot%\System32\userinit.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Application\Userinit\ =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Application\Userinit\EventMessageFile = %SystemRoot%\System32\userinit.exe
-- Поиск в HKEY_CURRENT_USER --
-- Поиск в HKEY_CLASSES_ROOT --
-- Поиск завершен --
Просмотрено ключей: 472712
-
Сообщение от
settko
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\fbbe97ac.exe,C:\WINDOWS\system32\abtacn.exe,C:\ WINDOWS\system32\fcd7dfa1.exe,C:\WINDOWS\system32\ wschgm.exe,C:\WINDOWS\system32\948e096b.exe,C:\WIN DOWS\system32\aoanyi.exe,C:\WINDOWS\system32\tlhnh yg.exe,C:\WINDOWS\system32\cxohjbk.exe,
Здесь надо исправить вид должен быть такой - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS\system32\userinit.exe, (включая запятую) Все файлы, которые перечислены после запятой, нужно удалить.
-
-
Junior Member
- Вес репутации
- 50
В реестре есть еще usrint сразу после userinit дак у usrint параметр C/windows/system32/aoanyi.exe как я понимаю его тоже удалять?
Добавлено через 3 минуты
Есть еще парамтр 6cd6e916 со значением C:\WINDOWS\system32\cxohjbk.exe
Последний раз редактировалось settko; 21.11.2010 в 19:18.
Причина: Добавлено
-
usrint - вот этого самого параметра быть не должно, сносите.
-
-
Junior Member
- Вес репутации
- 50
Права на файлик cxohjbk.exe принадлежат какой то "g data software ag" что это? тоже вирус нет?)
-
Это зловред. Меньше слов, больше действий. Исправьте наконец содержимое параметра и предоставьте логи по правилам.
-
-
Junior Member
- Вес репутации
- 50
В общем userint удалил, а userinit подправил, что делать с 6cd6e916 со значением C:\WINDOWS\system32\cxohjbk.exe не знаю, но в принципе, что дальше делать?
-
Тоже сносить. После этого перезагрузитесь и попробуйте запустить АВЗ.
-
-
Junior Member
- Вес репутации
- 50
Сделал route -f, перезагрузился, и теперь могу заходить на вирусинфо, до route -f не мог, так же благодоря редактированию реестра запустился авз в обычном режиме, сейчас делаю логи по правилам.
-
Junior Member
- Вес репутации
- 50