Здравствуйте. После проверки на вирусы касперским, в винде не запускается ехсплорер. Установка винды поверх существующей не помогла. Прилагаю логи
Printable View
Здравствуйте. После проверки на вирусы касперским, в винде не запускается ехсплорер. Установка винды поверх существующей не помогла. Прилагаю логи
[B][COLOR="Red"]Почему системное восстановление не отключено?[/COLOR][/B]
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 1 [/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
QuarantineFile('C:\System Volume Information\_restore{D5A0EA16-EC9C-4CAB-867B-AAC830128950}\RP33\A0029300.sys','');
QuarantineFile('C:\System Volume Information\_restore{D5A0EA16-EC9C-4CAB-867B-AAC830128950}\RP33\A0029303.exe','');
QuarantineFile('C:\System Volume Information\_restore{D5A0EA16-EC9C-4CAB-867B-AAC830128950}\RP33\A0029304.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WHIBK5UZ\pin[1].exe','');
QuarantineFile('C:\WINDOWS\Temp\rdl1B.tmp','');
DeleteFile('C:\WINDOWS\Temp\rdl1B.tmp');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WHIBK5UZ\pin[1].exe');
DeleteFile('C:\System Volume Information\_restore{D5A0EA16-EC9C-4CAB-867B-AAC830128950}\RP33\A0029304.exe');
DeleteFile('C:\System Volume Information\_restore{D5A0EA16-EC9C-4CAB-867B-AAC830128950}\RP33\A0029303.exe');
DeleteFile('C:\System Volume Information\_restore{D5A0EA16-EC9C-4CAB-867B-AAC830128950}\RP33\A0029300.sys');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 2 [/URL]
[CODE]begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи ///начиная от п.10 правил./// по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
IceSword не запускается с ошибкой Failed to create empty document
[QUOTE=Vlupidol;363216]IceSword не запускается с ошибкой Failed to create empty document[/QUOTE]
Делайте все остальное, повторите логи.
Системное восстановление не было отключено потому что не смог до него добраться, т.к рабочий стол не загружался, комбинации виндовых клавиш типа вин-брек не работали.
Я выполнил оба скрипта в авз, после второй перезагрузки запустился эксплорер и появился рабочий стол. потом я запустил IceSword, но файлов указанных в первом пункте на винте не было, поэтому я отключил восстановление, сделал логи и выслал карантин авз
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,%SystemRoot%\system32\userinit.exe,
[/CODE]
В логах ничего плохого.
Жалобы есть?
Установите SP3 (может потребоваться активация) + последующие обновления.
Все заработало, спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\_restore{d5a0ea16-ec9c-4cab-867b-aac830128950}\rp33\a0029300.sys - [B]Trojan-PSW.Win32.Agent.mcy[/B] (DrWEB: BackDoor.Zapinit.106)[*] c:\system volume information\_restore{d5a0ea16-ec9c-4cab-867b-aac830128950}\rp33\a0029303.exe - [B]Trojan.Win32.Agent.brff[/B][*] c:\system volume information\_restore{d5a0ea16-ec9c-4cab-867b-aac830128950}\rp33\a0029304.exe - [B]Trojan.Win32.Agent.brff[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]