Помогите пожалуста в данной ситуации. Именно беспокоит проблема блокирования интернет-браузеров
Помогите пожалуста в данной ситуации. Именно беспокоит проблема блокирования интернет-браузеров
Вот.. обновил!
Последний раз редактировалось thyrex; 13.02.2011 в 00:12.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1804', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1201', 3); QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll',''); SetServiceStart('mkdrv', 4); DeleteService('mkdrv'); QuarantineFile('C:\WINDOWS.0\sgope.sys',''); DeleteFile('C:\WINDOWS.0\sgope.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS'); DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('sfc'); BC_DeleteSvcReg('sfc'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Всё готово)
Удалите в MBAM:
Выполните скрипт в AVZ:Код:Заражённые ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\E8WECRKKMV (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\LREC75DND7 (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Value: kr_done1 -> No action taken. Заражённые файлы: c:\documents and settings\Саня\application data\Sun\Java\deployment\cache\6.0\61\30bd0bbd-1b184dcc (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Саня\local settings\Temp\12A6.tmp (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Саня\local settings\Temp\6B.tmp (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Саня\local settings\Temp\7F.tmp (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Саня\local settings\Temp\B0.tmp (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Саня\local settings\Temp\C2.tmp (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\саня\главное меню\программы\автозагрузка\igfxtray.exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Саня\мои документы\РЕФЕРАТИ\laws.exe (Hoax.WebMoner) -> No action taken. c:\WINDOWS.0\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken. c:\WINDOWS.0\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken. c:\WINDOWS.0\system32\kr_done1 (Malware.Trace) -> No action taken. c:\WINDOWS.0\system32\MRS.exe (Backdoor.Bot) -> No action taken.
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('%windir%\system32\sfcfiles.dll',''); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша.'); end else begin AddToLog('Файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует!'); if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386.'); end else begin AddToLog('Файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует!'); end; end; DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\sfcfiles.bak'); BC_ImportALL; ExecuteSysClean; SaveLog('sfcfiles.log'); BC_Activate; RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{1902AC25-71FF-4ACE-86C5-DCFA576771CB}'); RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Приложите файл sfcfiles.log из папки с AVZ.
Сделайте новые логи virusinfo_syscheck (п.2 раздела Диагностика) и MBAM.
I am not young enough to know everything...
Уже сделано)
Файл C:\WINDOWS.0\system32\sfcfiles.dll необходимо восстановить из дистрибутива или скопировать из здоровой системы той же версии.
Добавлено через 5 минут
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetServiceStart('Alerter', 4); SetServiceStart('RemoteRegistry', 4); ExecuteWizard('TSW',2,3,true); ClearQuarantine; QuarantineFile('muoguqn.sys',''); QuarantineFile('C:\WINDOWS.0\system32\Drivers\muoguqn.sys',''); BC_QrFile('C:\WINDOWS.0\system32\Drivers\muoguqn.sys'); BC_QrFile('C:\WINDOWS.0\system32\muoguqn.sys'); BC_QrFile('C:\WINDOWS.0\muoguqn.sys'); BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Последний раз редактировалось thyrex; 13.02.2011 в 15:25. Причина: Quarantined and deleted successfully :)
I am not young enough to know everything...
К сожелению после выполнения последнего скрипта и перезагрузки не удаётся войти в ос. систему, что могло случиться, есть ли возможность решить это?
Хмм... Последний скрипт кроме "косметики" и попытки карантина ничего не делал. А что происходит при попытке загрузиться? Попробуйте через F8 "Загрузку последней удачной конфигурации".
I am not young enough to know everything...
не могу зайти в безопасный режим.. Ф8 ввобще не реагирует.. удалось сфоткать сообщение, после которого и выбивает всегда
STOP: c000007b {Bad Image} дальше иероглифы
В биосе перед этим ничего не переключали? Такое бывает из-за несоответствия режима SATA контроллера (AHCI/RAID/IDE). Или из-за повреждения драйверов дисковых устройств.
Если у вас навороченная "мультимедийная" клавиатура, поищите там клавишу F-Lock (или Office Lock), ее нужно нажать один раз перед F8.
I am not young enough to know everything...
В Биосе не лазил - удалось зайти в безопасный режим, но загрузка невыполняеться а пишеться на чёрном фоне SPTD.sys и a347bus.sys press ESC далее презагрузка..
Свою старую систему не удалял на нёё же поставил другую, так что заменить что-либо будет возможным)
Уже попробовал.. тоже самое STOP: c000007b
Добавлено через 57 минут
Хух.. всё стало нормально.. проблема была в файле sfcfiles.dll - он явно не подходил - потом решил скачать другой и система наладилась.. продолжим с того места.. щас пришлю новый карантин.
Важно, что первоначальная проблема решилась - могу снова заходить в нет-браузеры, всем огромное спасибо за указаную помощь)
Последний раз редактировалось Quikwell; 13.02.2011 в 19:33. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows.0\\sgope.sys - Rootkit.Win32.Qhost.bc ( DrWEB: Trojan.Hosts.5006, BitDefender: Trojan.Generic.KDV.118905, NOD32: Win32/Qhost.Banker.GA trojan, AVAST4: Win32:Hosti-A [Rtk] )
- c:\\windows.0\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.bpcb ( DrWEB: Trojan.WinSpy.990, BitDefender: Gen:Variant.Kazy.10709, AVAST4: Win32:Parchood-B [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Quikwell, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.