Диспетчер задач отключен администратором

**Den_in** · 21.01.2011, 12:08

Добрый день!
1) При нажатии ctrl+alt+del - сообщение, что диспетчер задач отключен администратором.
2) Ни в одном из безопасных режимов система не загружается.
3) При сканировании CureIt и AVPTool находят много инфицированных объектов, пробуют лечить, но после перезагрузки все то же самое.
4) AVZ запустился только с флешки.
Логи приложил, помотрите, пожалуйста. Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 21.01.2011, 13:13

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 TerminateProcessByName('c:\seps\reprogdata\sepsdm.exe');
 QuarantineFile('C:\WINDOWS\system32\zh99.exe','');
 QuarantineFile('C:\gvci\bin\iis.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\рабочий стол2.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DDD.EXE','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\xp-2a264dd5.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD4.EXE','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD3.EXE','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD2.EXE','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD1.EXE','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD0.EXE','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\WinRAR.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\recycled.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\mail.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\dell.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\Atlas 1.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\12.10__0.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\12.10.exe','');
 QuarantineFile('C:\WINDOWS\system32\XP-2A264DDD.EXE','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nondevicedrv.sys','');
 QuarantineFile('c:\gvci\bin\FwHookDrv.sys','');
 DeleteService('abp470n5');
 QuarantineFile('C:\WINDOWS\system32\drivers\ruiim.sys','');
 QuarantineFile('c:\seps\reprogdata\sepsdm.exe','');
 QuarantineFile('C:\WINDOWS\system32\2B96FFE0.EXE','');
 QuarantineFile('C:\SEPS\ReprogData\SEPSDM.EXE','');
 DeleteFile('C:\WINDOWS\system32\drivers\ruiim.sys');
 BC_DeleteSvc('abp470n5');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\12.10.exe');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\12.10__0.exe');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\Atlas 1.exe');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\dell.exe');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\mail.exe');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\recycled.exe');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\WinRAR.exe');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD0.EXE');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD1.EXE');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD2.EXE');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD3.EXE');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DD4.EXE');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\xp-2a264dd5.exe');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\XP-2A264DDD.EXE');
 DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\рабочий стол2.exe');
 DeleteFile('C:\WINDOWS\system32\zh99.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.

**Den_in** · 21.01.2011, 13:33

Карантин отправлен. Как узнать: получен ли он Вами?

**polword** · 21.01.2011, 13:50

Сообщение от Den_in

получен ли он Вами?

получен

**Shu_b** · 21.01.2011, 14:13

KIS 2010=Зловред Virus.Win32.Sality.aa; DrWEB 6.0=Зловред Win32.HLLW.Autoruner.2697 (Win32.Sector.12); VBA32=Зловред Virus.Win32.Sality.baka; BitDefender=Зловред Win32.Sality.OG; NOD32=Зловред Win32/Sality.NAU virus; Avast4=Зловред Win32:Sality

Надо бы так сделать - http://virusinfo.info/showthread.php?t=15927

**Den_in** · 21.01.2011, 14:32

Логи повторил.

**миднайт** · 21.01.2011, 14:36

Выполните рекомендацию от Shu_b. Затем повторите лог virusinfo_syscheck.zip

**Den_in** · 21.01.2011, 14:38

To Shu_b:
Я пытался загрузиться с LIVECD DrWeb, до обращения на форум, но никак не хотел стартовать графический режим: то ли ноутбук слабый и просто не дождался то ли LIVECD побился (скачивал на другом PC). Стоит пробовать все заново и какой из способов предпочтительней?

**миднайт** · 21.01.2011, 14:57

Скачайте и запишите LiveCD на чистом ПК. Загрузитесь с него и сделайте полную проверку.
+ при сканировании подключите ваши флэшки!

**Den_in** · 21.01.2011, 15:03

OK. Буду пробовать. Всем спасибо.

**CyberHelper** · 22.01.2011, 15:03

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 20
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\at las 1.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
2. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\de ll.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
3. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\ma il.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
4. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\re cycled.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
5. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\wi nrar.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
6. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264ddd.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
7. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd0.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
8. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd1.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
9. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd2.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
10. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd3.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
11. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd4.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
12. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\xp-2a264dd5.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
13. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\ра бочий стол2.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
14. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\12 .10.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )
15. c:\\documents and settings\\администратор\\doctorweb\\quarantine\\12 .10__0.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.2697, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
16. c:\\windows\\system32\\zh99.exe - Trojan.Win32.FlyStudio.aef ( DrWEB: Trojan.Siggen2.16324, BitDefender: Gen:Variant.EvilEPL.6, AVAST4: Win32:ScramFly [Cryp] )

Диспетчер задач отключен администратором (заявка № 95833)

Опции темы