Пропал интерфейс рабочего стола.

Printable View

20.06.2012, 13:48
12primitive

Вложений: 3

Пропал интерфейс рабочего стола.

Здравствуйте.

Пропал интерфейс рабочего стола. Осталась только мышь. Диспетчер задач не запускается.
Из безопасного режима просканировал CureIt, что-то он вылечил, но ничего не изменилось.

Помогите, пожалуйста.
20.06.2012, 13:49
Info_bot

Уважаемый(ая) [B]12primitive[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.06.2012, 14:41
regist

[QUOTE][COLOR="#FF0000"][B]Внимание !!! [/B][/COLOR]База поcледний раз обновлялась 20.05.2012 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39[/QUOTE]

обновите базы AVZ

[COLOR="silver"]- - - Updated - - -[/COLOR]

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\apppatch\aljwli.exe','');
DeleteFile('F:\WINDOWS\apppatch\aljwli.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

по возможности сделайте логи из обычного режима.
20.06.2012, 15:14
12primitive

Вложений: 2

Логи из обычного режима.
При загрузке карантина сообщение, что файл уже был загружен.
20.06.2012, 16:27
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\18.7.2.3\ASOEHOOK.DLL','');
QuarantineFile('F:\WINDOWS\apppatch\aljwli.exe','');
QuarantineFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe','');
DeleteFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe');
DeleteFile('F:\WINDOWS\apppatch\aljwli.exe');
DeleteFile('\zSOJS.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','yyxYS');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','yyxYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
20.06.2012, 17:05
12primitive

Вложений: 2

Сделал.

120620_130107_quarantine_4fe1c9934cc3b.zip - Карантин

Архив с файлами:
Файл сохранён как 120620_125931_virusinfo_files_ALEXANDR_4fe1c933a66b1.zip
Размер файла 11641811
MD5 ffe44762847dfac2ef69304bf9bad556
20.06.2012, 19:46
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe','');
DeleteFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yyxYS');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

+ [QUOTE][b][color=Red]Внимание, в архиве обнаружены опасные или вредоносные объекты: [/color][/b]
F:\\Documents and Settings\\Admin\\Application Data\\zSOJS.exe: Trojan-Spy.Win32.SpyEyes.afqn[/QUOTE]
меняйте все важные пароли.
21.06.2012, 10:34
12primitive

Вложений: 3

Сделал.

Карантин
120621_063043_quarantine_4fe2bf9380721.zip
21.06.2012, 12:13
regist

Здравствуйте!

Обновите базы AVZ ещё раз.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis
[CODE]O4 - HKCU\..\Run: [yyxYS] F:\Documents and Settings\Admin\Application Data\zSOJS.exe[/CODE]

если прокси прописывали не сами, то также профиксить
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128[/CODE]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe','');
QuarantineFile('F:\Program Files\Volumecontrol2\LConfig.exe','');
QuarantineFile('F:\WINDOWS\Temp\mor.exe','');
QuarantineFile('F:\RECYCLE.BIN\1FBB618F5B23B00e','');
QuarantineFile('F:\RECYCLE.BIN\B6232F~1.EXE','');
DeleteFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe');
DeleteFile('F:\WINDOWS\Temp\mor.exe');
DeleteFile('F:\RECYCLE.BIN\1FBB618F5B23B00');
DeleteFile('F:\RECYCLE.BIN\B6232F~1.EXE');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yyxYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[url=http://virusinfo.info/showpost.php?p=457118&postcount=1]Удалите в MBAM [/url] (если будут)

[CODE]F:\WINDOWS\Temp\mor.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
F:\RECYCLE.BIN\1FBB618F5B23B00 (Trojan.Spyeyes) -> Действие не было предпринято.
F:\RECYCLE.BIN\B6232F~1.EXE (Trojan.Spyeyes) -> Действие не было предпринято.[/CODE]
21.06.2012, 12:36
12primitive

Вложений: 2

120621_083508_quarantine_4fe2dcbc3656e.zip
21.06.2012, 12:52
regist

Здравствуйте! отключение антивируса, вы каждый раз упорно игнорируете >:(

Закройте все программы

[B]Отключите[/B]
[B]- ПК от интернета/локалки.[/B]
[url=http://virusinfo.info/showthread.php?t=57441][B]- Антивирус и Файрвол[/B][/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\Temp\mor.exe','');
QuarantineFile('F:\Recycle.Bin\B6232F3AE2A.exe','');
DeleteFile('F:\Recycle.Bin\B6232F3AE2A.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
-----------------------------

[LIST=1][*]Скачайте архив [url=http://support.kaspersky.ru/downloads/utils/tdsskiller.zip]TDSSKiller.zip[/url] и распакуйте его в отдельную папку;[*]Скопируйте следующий текст в [U]Блокнот[/U] и сохраните в папку с распакованным [B]TDSSKiller.exe[/B], как [b]fix.bat[/b]:[code]tdsskiller.exe -silent -qmbr -qboot[/code][*]Запустите файл [b][i]fix.bat[/i][/b];[*]Найдите в корне системного диска (обычно это диск [i]C:[/i]) папку [b][i]TDSSkiller_Quarantine[/i][/b];[*]Заархивруйте эту папку с паролем [B]virus[/B]. И [U]загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.[*]Запустите файл [B][I]TDSSKiller.exe[/I][/B];[*]Нажмите кнопку "[b]Начать проверку[/b]";[*]В процессе проверки могут быть обнаружены объекты двух типов:[list][*]вредоносные (точно было установлено, какой вредоносной программой поражен объект);[*]подозрительные (тип вредоносного воздействия точно установить невозможно).[/list][*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: [b]Лечить[/b] или [b]Удалить[/b].[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию [b]Пропустить[/b]).[*]После нажатия кнопки [b]Продолжить[/b] утилита выполняет выбранные действия и выводит результат.[*][U]Прикрепите лог утилиты[/U] к своему следующему сообщению[/list]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: [i]ИмяУтилиты.Версия_Дата_Время_log.txt[/i]
Например, [i]C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt[/i]

----------------
+ сделайте ещё раз лог полного сканирования MBAM, а заодно отпишитесь, что там с проблемой 7 что-нибудь изменилось ?

не забудьте по окончанию лечения ещё раз сменить пароли.
21.06.2012, 14:08
12primitive

Вложений: 4

120621_093002_quarantine_4fe2e99a59bad.zip
120621_093158_TDSSKiller_Quarantine_4fe2ea0eead66.zip

Я про антивирус на этом компьютере только сейчас узнал. Он и не обновлялся давно.
Здесь не было архиватора и, по-моему, при его установке я схватил Mayachok.:(

[COLOR="silver"]- - - Updated - - -[/COLOR]

Ах, да, забыл. Симптомы больше не проявляются.
21.06.2012, 14:17
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('F:\Documents and Settings\Admin\Application Data\taskhost.exe');
QuarantineFileF('F:\Documents and Settings\Admin\Application Data','*.exe', false,'',0 ,0);
QuarantineFile('F:\Documents and Settings\Admin\Application Data\taskhost.exe','');
QuarantineFile('F:\Documents and Settings\Admin\Application Data\txt.exe','');
QuarantineFile('F:\WINDOWS\Temp\9niry6b6.exe','');
DeleteFile('F:\Documents and Settings\Admin\Application Data\taskhost.exe');
DeleteFile('F:\Documents and Settings\Admin\Application Data\txt.exee');
DeleteFile('F:\WINDOWS\Temp\9niry6b6.ex');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Удалите в MBAM [U]всё кроме [/U]
[CODE]F:\Program Files\Volumecontrol2\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.[/CODE]

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

повторите лог сканирования MBAM.
21.06.2012, 14:53
12primitive

Вложений: 3

Файл сохранён как 120621_105114_quarantine_4fe2fca221d47.zip

После выполнения первого скрипта компьютер начал перезагружаться, но остановился на первоначальной ситуации: пустой стол и мышь. После насильного выключения все было в норме и не повторялось.
21.06.2012, 15:05
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\system32\pclfakm.dll','');
QuarantineFileF('C:\Windows\system32','*.tmp', true,'',0 ,0);
DeleteFile('F:\WINDOWS\system32\pclfakm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
21.06.2012, 15:16
12primitive

Вложений: 2

Файл сохранён как 120621_111622_quarantine_4fe3028692d4b.zip
21.06.2012, 16:20
regist

ознакомьтесь: [url=http://virusinfo.info/showthread.php?t=30339]Рекомендации после лечения или 10 заповедей для здоровья компьютера[/url]
21.06.2012, 16:43
12primitive

То есть в основном все чисто?

Ознакомлюсь. Большое спасибо за помощь!
22.06.2012, 16:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]40[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:\\documents and settings\\admin\\application data\\zsojs.exe - [B]Trojan-Spy.Win32.SpyEyes.afqn[/B] ( DrWEB: Trojan.PWS.SpySweep.143, BitDefender: Trojan.Generic.KDV.656348, AVAST4: Win32:Malware-gen )[*] f:\\recycle.bin\\b6232f~1.exe - [B]Trojan-Spy.Win32.SpyEyes.afqn[/B] ( DrWEB: Trojan.PWS.SpySweep.143, BitDefender: Trojan.Generic.KDV.656348, AVAST4: Win32:Malware-gen )[*] f:\\windows\\system32\\pclfakm.dll - [B]Trojan.Win32.Cidox.jma[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]