Был вирус Internet Security вроде как избавился, но не запускается практически ни одна программа, диспетчер задач заблокирован.
Заранее благодарен за помощь. :)
Printable View
Был вирус Internet Security вроде как избавился, но не запускается практически ни одна программа, диспетчер задач заблокирован.
Заранее благодарен за помощь. :)
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\WINDOWS\system32\Winupdates\update.exe','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{93344865-74BD-4873-BE65-56539D41A65C}');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\~TMD.tmp','');
QuarantineFile('C:\WINDOWS\System32\Drivers\avvtc4j6.SYS','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\3g6DK8Hv.sys','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\hhdufkjtp.dll','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\hhdufkjtp.dll');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\3g6DK8Hv.sys');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\~TMD.tmp');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\system32\Winupdates\update.exe');
DelCLSID('07B02C90-AB09-5CF1-2D55-5E711C739529');
RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\DOCUME~1\User\LOCALS~1\Temp\hhdufkjtp.dll', ''), ',,', ',')); {удаление AppInit_DLL}
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11); {разблокировка диспетчера задач}
ExecuteRepair(17); {разблокировка редактора реестра}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
Спасибо. Вроде как все нормально, но Др.Веб не запускается пишет что прав не достаточно.
Карантин где?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Выполните скрипт:
[CODE]procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
end;
Begin
FixUpdate;
RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\Eventlog\System\SISNIC', 'EventMessageFile', 'C:\WINDOWS\System32\netevent.dll');
RebootWindows(false);
end.[/CODE]
Система перезагрузится. Сделайте повторный лог только согласно пункта 2 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscheck.zip[/I]
Извиняюсь, сделал.
Сделал
Больше ничего вредоносного в логах не видно.
Попробуем восстановить антивирус: выполните скрипт:
[CODE]begin
ExecuteRepair(6);
end.[/CODE]
Заработал?
Да, спасибо за помощь. =)
Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\user\главное меню\программы\автозагрузка\siszyd32.exe - [B]Packed.Win32.Katusha.e[/B] ( DrWEB: Trojan.Botnetlog.138, BitDefender: Worm.Generic.219975, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\docume~1\user\locals~1\temp\hhdufkjtp.dll - [B]Trojan-Downloader.Win32.Piker.bnz[/B] ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\docume~1\user\locals~1\temp\~tmd.tmp - [B]Trojan-Proxy.Win32.Small.aev[/B] ( DrWEB: Trojan.Proxy.6207 )[/LIST][/LIST]