Windows заблокирована отправьте смс

Printable View

25.06.2009, 16:15
SlyAss

Windows заблокирована отправьте смс

Помогите плиз , сам не смог отлечить.
[COLOR="Red"]moderated::: *Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.[/COLOR]
25.06.2009, 16:32
Rene-gad

[QUOTE]Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)[/QUOTE]Логи выполняются ТОЛЬКО в нормальном режиме.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\sdra64.exe,
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
25.06.2009, 16:54
SlyAss

после выполнения скрипта комп перезагружается , но в explorer не попадает, windows заблокирована отправьте смс :(
25.06.2009, 16:58
Rene-gad

Почитайте: [url]http://virusinfo.info/showthread.php?t=44817[/url] если еще не читали...:)
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] (можно в безопасном режиме).
[CODE]begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
[/CODE]

После перезагрузки сделайте все из сообщения #2
25.06.2009, 17:25
SlyAss

Спасибо огромное за оперативную работу :)
25.06.2009, 17:34
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\aliserv3.sys','');
QuarantineFile('C:\WINDOWS\system32\RegSrvc.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
25.06.2009, 18:02
SlyAss

Сделал
26.06.2009, 00:36
Rene-gad

[B]Восстановление системы: включено[/B]
Кто просил включать?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\alil.dll','');
DeleteFile('C:\WINDOWS\system32\alil.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
+
лог gmer
[/b]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
26.06.2009, 10:52
SlyAss

черт в gmere опять скайнет ((((
26.06.2009, 11:18
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETewbsblns.sys','');
QuarantineFile('C:\WINDOWS\system32\SKYNETiqssvhgt.dat','');
QuarantineFile('C:\WINDOWS\system32\SKYNETtwwyvekr.dll','');
QuarantineFile('C:\WINDOWS\system32\SKYNETpfpxtmsn.dat','');
QuarantineFile('C:\WINDOWS\system32\SKYNETsfvcvrev.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETewbsblns.sys');
DeleteFile('C:\WINDOWS\system32\SKYNETiqssvhgt.dat');
DeleteFile('C:\WINDOWS\system32\SKYNETtwwyvekr.dll');
DeleteFile('C:\WINDOWS\system32\SKYNETpfpxtmsn.dat');
DeleteFile('C:\WINDOWS\system32\SKYNETsfvcvrev.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del service SKYNETvxaabsie
gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETewbsblns.sys"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETiqssvhgt.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETtwwyvekr.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETpfpxtmsn.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETsfvcvrev.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETvxaabsie"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETvxaabsie"
gmer.exe -reboot[/code]И запустите cleanup.bat

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи AVZ + новый лог gmer
26.06.2009, 12:33
SlyAss

Сделал, cleanup.bat говорил что данных файлов не найдено, после перезагрузки, при попытке сделать новые логи, через примерно 5 мин комп выбило в синий экран и так 2 раза. сделал логи в безопасном режиме только(
26.06.2009, 12:46
thyrex

Эвристику поставьте на [B]средний[/B] уровень. Зачем Вам максимум...

После этого попытайтесь сделать логи в обычном режиме
26.06.2009, 12:54
SlyAss

Эвристика сама так ставится, когда говорю выполнить скрипты для сбора, поменять не могу, окно с выбором скриптов не дает, а как поменять?
26.06.2009, 13:17
thyrex

AVZ - вкладка [B]Параметры поиска[/B] - Эвристический анализатор - какой уровень эвристики стоит?
26.06.2009, 13:21
SlyAss

вот сделал

по умолчанию стоит средний, но когда нажимаю выполнить стандартные скрипты, для Помогите, он поднимается наверх
26.06.2009, 13:58
thyrex

В логах чисто. А что с проблемой?
26.06.2009, 14:31
SlyAss

Ну значит все , спасибо вам огромное :) virusifo.info руль , а синий экран спишем на глюк винды ;) сейчас вроде все хорошо работает
27.06.2009, 14:31
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.wwu[/B] ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Gen:Trojan.Heur.Dropper.D0837C7C7C )[*] c:\windows\system32\twex.exe - [B]Trojan-Spy.Win32.Zbot.xmi[/B] ( DrWEB: Trojan.Inject.5847, BitDefender: Gen:Trojan.Heur.Dropper.9013ECECEC )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]