При загрузке windows думает больше чем обычно ,а когда загрузился ,то показывает обои рабочего стола ,но не загружает никакие ярлыки и панели пуск. ЦП тоже скачет.
При загрузке windows думает больше чем обычно ,а когда загрузился ,то показывает обои рабочего стола ,но не загружает никакие ярлыки и панели пуск. ЦП тоже скачет.
Последний раз редактировалось morfie; 19.02.2011 в 13:15.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Common Files\Agent\svhost.exe',''); QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Temp\0.1608534557849699.exe',''); QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\DFKXUMA0\gzynepitcoxsxrhn[1].exe',''); DeleteFile('D:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\DFKXUMA0\gzynepitcoxsxrhn[1].exe'); DeleteFile('D:\Documents and Settings\Admin\Local Settings\Temp\0.1608534557849699.exe'); DeleteFile('C:\Program Files\Common Files\Agent\svhost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
параметрКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметрКод:userinit
Содержимое этих параметров напишите в своем сообщенииКод:shell
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Хм..рано я забил тревогу, через клавишу пуск>свернуть все окна смог запустить мой компьютер ,браузер и т.д. (хоть мышка и могла двигаться только в рамках запущенной вирусом программы)
Скрипт выполнил ,карантин прислал ,баннер пропал ,но такое ощущение ,что вирус удалился не до конца.
Последний раз редактировалось morfie; 19.02.2011 в 13:15.
В HiJackThis пофиксите
Сделайте лог полного сканирования МВАМКод:O4 - HKCU\..\Policies\Explorer\Run: [wininet] .exe
Последний раз редактировалось миднайт; 18.01.2011 в 12:24. Причина: add
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Common Files\Mail\svhost.exe',''); DeleteFile('C:\Program Files\Common Files\Mail\svhost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот новые логи.
1.Профиксите в HijackThis
2.Отключите Системное восстановление!!! как- посмотреть можно тутКод:O4 - HKCU\..\Policies\Explorer\Run: [wininet] .exe
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('f:\program files\mozilla firefox\test.exe',''); QuarantineFile('d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\YHORX4YY\gzynepitcoxsxrhn[1].exe',''); QuarantineFile('d:\documents and settings\Admin\local settings\Temp\0.40458078202490855.exe',''); QuarantineFile('d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\0P1ODE91\5cb[1].exe',''); DeleteFile('d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\0P1ODE91\5cb[1].exe'); DeleteFile('d:\documents and settings\Admin\local settings\Temp\0.40458078202490855.exe'); DeleteFile('d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\YHORX4YY\gzynepitcoxsxrhn[1].exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); ExecuteRepair(5); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- удалите в MBAM оставшееся из этого
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:Заражённые ключи в реестре: HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. Заражённые папки: d:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken. Заражённые файлы: d:\documents and settings\Admin\local settings\Temp\0.40458078202490855.exe (Spyware.Passwords) -> No action taken. d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\0P1ODE91\5cb[1].exe (Trojan.Downloader) -> No action taken. d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\YHORX4YY\gzynepitcoxsxrhn[1].exe (Spyware.Passwords) -> No action taken. d:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken. d:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
- Сделайте лог MBAM
все сделал.
Смените все пароли
f:\program files\mozilla firefox\test.exe - известен этот файл?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
нет , я тоже обратил на него внимания ,но удалять не стал.
Что с ним делать?
я зашёл в f:\program files\mozilla firefox и др веб автоматически исцелил его и он пропал.
Последний раз редактировалось morfie; 19.01.2011 в 23:18. Причина: ...
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде бы все хорошо , загрузка цп в норме ,windows загружается быстро. Спасибо, проблема решена.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- d:\\documents and settings\\admin\\local settings\\temporary internet files\\content.ie5\\dfkxuma0\\gzynepitcoxsxrhn[1].exe - Trojan-Ransom.Win32.Losya.as ( DrWEB: Trojan.Winlock.2876, BitDefender: Trojan.Generic.5567201, AVAST4: Win32:Malware-gen )
- d:\\documents and settings\\admin\\local settings\\temp\\0.1608534557849699.exe - Trojan-Ransom.Win32.Losya.as ( DrWEB: Trojan.Winlock.2876, BitDefender: Trojan.Generic.5567201, AVAST4: Win32:Malware-gen )
- f:\\program files\\mozilla firefox\\test.exe - Trojan.Win32.VBKrypt.axsq ( DrWEB: Trojan.Winlock.2876, BitDefender: MemScan:Trojan.Generic.5652273, AVAST4: Win32:Malware-gen )
Уважаемый(ая) morfie, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.