Словил вирус. Просят 400 р на номер 8-911-027-07-92. Комп Нетбук. Windows 7 Максимальная.
На зараженной системе загрузиться нельзя.
AVZ запускал c LiveCD с флешки.
Логи привожу.
Printable View
Словил вирус. Просят 400 р на номер 8-911-027-07-92. Комп Нетбук. Windows 7 Максимальная.
На зараженной системе загрузиться нельзя.
AVZ запускал c LiveCD с флешки.
Логи привожу.
Здравствуйте.
Логи с LiveCD вряд ли помогут.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
[CODE]<диск с заблокированой ОС>:\WINDOWS\System32\config[/CODE]
Затем сообщите :
В ключе
[CODE]HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]
значение параметра
[CODE]Userinit[/CODE]
и значение параметра
[CODE]Shell[/CODE]
значение параметра
Код:Userinit=C:\ProgramData\22CC6C32.exe,C:\Windows\apppatch\agenucw.dat,
Shell=C:\ProgramData\22CC6C32.exe
Спасибо [B]pump[/B] и [B]PavelA[/B].
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\apppatch\agenucw.dat','');
QuarantineFile('C:\ProgramData\22CC6C32.exe','');
DeleteFile('C:\ProgramData\22CC6C32.exe');
DeleteFile('C:\Windows\apppatch\agenucw.dat');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Попробуйте загрузиться на зараженной системе.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
В папке appPatch есть файл ltjsglq.dat. Время изменения совпадает со временем заражения.
[QUOTE='Ilgr;787027']ltjsglq.dat[/QUOTE]
Запакуйте его в архив с паролем virus и пришлите архив через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы.
Хм. Скрипт выполнил.
Пытаюсь загрузиться. Вот уже 15 минут грузится после захода в учетку.
Систему я похоже убил восстановлением.
Карантин высылаю.
А странного файла уже нет.
При загрузке карантина выдает ошибку: Уже такой файл есть
Через LiveCD
В ключе
[CODE]HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]
Попробуйте восстановить значение этого параметра [CODE]Shell[/CODE] на explorer.exe
Систему восстановил. Откатом на месяц.
Сделал логи. Гляньте пожалуйста.
Карантин тоже выслал.
Я так о себе напомнить.
Все чисто?:)
Да, все нормально.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]