-
Junior Member
- Вес репутации
- 48
Странный вирус
С недавних пор заметил странную вещь. Вдруг перестал работать центр обновления Windows 7 и комбинация win-e. Якобы из-за запрета администратора. Хотя я единственный пользователь этого компьютера и администратор. Заставить работать все через реестр и gpedit не получилось. CureIt при сканировании обнаружил файлы-вирусы C:/Windows/system32/system/svchost.exe и C:/Windows/system32/ICM.exe(не уверен но примерно такое название).
Причем один из них троян а второй троян-загрузчик. Удаление и перхагруз проблему не решили. Подскажите, как победить заразу и что это вообще за штука?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте логи по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
QuarantineFile('C:\Windows\System32\nsis_loader.dll','');
QuarantineFile('C:\Users\C523~1\AppData\Local\Temp\9477NH25.sys','');
DelCLSID('EzCddax extension');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Последний раз редактировалось thyrex; 12.03.2011 в 23:21.
-
-
Junior Member
- Вес репутации
- 48
AVZ вырубается с ошибкой во время выполнения скрипта
Добавлено через 7 минут
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.35.0.1
Отметка времени приложения: 2a425e19
Имя модуля с ошибкой: advapi32.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bd97e
Код исключения: c0000096
Смещение исключения: 00022a53
Версия ОС: 6.1.7600.2.0.0.256.4
Код языка: 1049
Дополнительные сведения 1: c396
Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449
Дополнительные сведения 3: c396
Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449
Последний раз редактировалось kir1994; 12.03.2011 в 21:18.
Причина: Добавлено
-
Поправил скрипт. Выполняйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Зашибись....после выполнения скрипта винда вообще не запускается...виснет на логон скрине не может запустить его и в ребут...
как это исправить?
-
При загрузке нажимайте клавишу F8.
В появившемся меню выберите пункт "Исправление неполадок компьютера".
Далее пункт "Восстановление системы".
Последний раз редактировалось Nikkollo; 13.03.2011 в 15:40.
-
-
Сообщение от
kir1994
как это исправить?
если не удастся загрузится в безопасном режиме, загрузитесь с любого Live CD которой может работать с реестром (например с ERD Commander) и экспортируйте в реестр вашей системе reg файлы с именем R06_Policies_******* вместо звёздочек будет дата выполнения скрипта.
-
-
Junior Member
- Вес репутации
- 48
нужен диск с виндой а такового нет в наличии
-
Есть возможность загрузиться с какого-либо Live CD?
-
-
Junior Member
- Вес репутации
- 48
в наличии ток линукс...
объясните в чем конкретно проблема пожалуйста...
-
В папке AVZ должна быть папка Backup, в ней папка с именем, состоящим из даты, соответствующей дате выполнения скрипта.
В этой папке должны быть файлы типа R06_Policies_<цыферки>.reg
Их нужно импортировать в реестр больной системы.
-
-
Junior Member
- Вес репутации
- 48
а на которые R08_ExplorerSetup забить?
-
-
-
Junior Member
- Вес репутации
- 48
чем с LiveCD импортировать?
ERD не вариант...не работает...
-
А что именно с ERD не работает?
Может не ту версию используете?
Для 32-битной Windows 7 подойдет ERD Commander 6.5 x86.
С ним было бы наиболее удобно, он сразу подключаестя к реестру выбранной системы.
(там Пуск - Выполнить - erdregedit и в нем просто импортировать все R06_Policies_<цыферки>.reg)
В Win LiveCD использовать его штатный regedit, загружая\выгружая соответствующие кусты реестра, как тут описано:
http://virusinfo.info/showthread.php?t=72176
И вручную восстанавливая ключи и параметры, содержащиеся в R06_Policies_<цыферки>.reg.
Соответсвия файлов реестра именам кустов такое:
HKEY_LOCAL_MACHINE\SAM - windows\system32\config\sam
HKEY_LOCAL_MACHINE\Security - windows\system32\config\security
HKEY_LOCAL_MACHINE\Software - windows\system32\config\software
HKEY_LOCAL_MACHINE\System - windows\system32\config\system
HKEY_CURRENT_CONFIG - windows\system32\config\system
HKEY_CURRENT_USER - <username>\ntuser.dat
HKEY_USERS\.DEFAULT - windows\system32\config\default
-