Заблокирован компьютер

Printable View

24.10.2009, 21:33
prowler

Заблокирован компьютер

Заблокирован компьютер, просит отослать СМС.
Смог зайти только в безопасном режиме с командной строкой. Для того что бы попасть в интернет пришлось созать новую учетку ограниченную, при переводе в админы блокируется и новая учетка.
24.10.2009, 21:39
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\ACE Mega CoDecS Pack\Anti-Virus\Quick Remove\PAVCL.COM','');
QuarantineFile('C:\WINDOWS\system32\A4E.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
QuarantineFile('C:\WINDOWS\system32\zpx2.exe','');
StopService('winsecguard');
DeleteService('winsecguard');
DeleteFile('C:\WINDOWS\system32\zpx2.exe');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
DeleteFile('C:\WINDOWS\system32\A4E.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением темы)

Пробуйте загрузиться в нормальном режиме и сделайте новые логи
24.10.2009, 22:24
prowler

В обычном режиме картинка пропала, explorer и диспетчер задач заблокированы. В безопасном режиме запоролил учетку админа. Захожу под админом все работает, только Explorer приходится запускать в ручную.
24.10.2009, 22:31
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
SetAVZPMStatus(true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip
24.10.2009, 22:40
prowler

Выполнил
24.10.2009, 22:44
Никита Соловьев

Сделайте такой лог: [url]http://virusinfo.info/showthread.php?t=40118[/url]
24.10.2009, 23:32
prowler

Выполнил
24.10.2009, 23:37
Никита Соловьев

Ознакомьтесь и выполните: [url]http://support.kaspersky.ru/faq/?qid=208636215[/url]
24.10.2009, 23:54
prowler

Выполнил, червь Кидо не нейден. Пойду ставить все обновления.
24.10.2009, 23:57
thyrex

Странно, но это Кидо

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 17q4ndy2.exe (gmer)
[CODE]17q4ndy2.exe -del service nopywr
17q4ndy2.exe -del file "C:\WINDOWS\system32\cvlxufe.dll"
17q4ndy2.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nopywr"
17q4ndy2.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nopywr"
17q4ndy2.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer
25.10.2009, 02:27
prowler

Батник выдал ошибку не найден файл cvlxufe.dll, потом еще несколько ошибок и перегрузился. Утилитка от Eset для удаления konficera тоже ничего не нашла. После ручной чистки и некоторой перестройки системы eset online scaner нашел 4 вируса. Вот логи что осталось. Если чисто, то начну ставить обновления.
25.10.2009, 10:38
thyrex

Пофиксить в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\D100~1.HOM\LOCALS~1\Temp\donD61.tmp
O2 - BHO: FLAC Media Codec - {9188820D-6784-4721-B4C9-49214EDA2EAC} - (no file)
O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O2 - BHO: LA Video Feeder - {EA982585-D249-40C8-A368-C2BE7944ABC2} - (no file)
O2 - BHO: ALAC Video Provider - {F69B9E79-B4F5-47BB-870E-EB0404D26161} - (no file)[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\D100~1.HOM\LOCALS~1\Temp\donD61.tmp','');
DeleteFile('C:\DOCUME~1\D100~1.HOM\LOCALS~1\Temp\donD61.tmp');
DeleteFile('C:\Documents and Settings\Администратор.HOMESTOS.000\Application Data\Desktopicon\eBayShortcuts.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
26.10.2009, 09:21
prowler

После чистки поставил SP3 и все обновления проблема решена. Всем огромное спасибо.
27.10.2009, 09:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]