Помогите пожалуста в данной ситуации. Именно беспокоит проблема блокирования интернет-браузеров
Printable View
Помогите пожалуста в данной ситуации. Именно беспокоит проблема блокирования интернет-браузеров
[URL="http://virusinfo.info/pravila.html"][COLOR="blue"]Внимательно прочитайте и аккуратно выполните[/COLOR][/URL]
Вот.. обновил!
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1804', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Set-tings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
SetServiceStart('mkdrv', 4);
DeleteService('mkdrv');
QuarantineFile('C:\WINDOWS.0\sgope.sys','');
DeleteFile('C:\WINDOWS.0\sgope.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Обновите базы AVZ[/B]
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Всё готово)
Удалите в MBAM:
[CODE]Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\E8WECRKKMV (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\LREC75DND7 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Value: kr_done1 -> No action taken.
Заражённые файлы:
c:\documents and settings\Саня\application data\Sun\Java\deployment\cache\6.0\61\30bd0bbd-1b184dcc (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Саня\local settings\Temp\12A6.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Саня\local settings\Temp\6B.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Саня\local settings\Temp\7F.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Саня\local settings\Temp\B0.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Саня\local settings\Temp\C2.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\саня\главное меню\программы\автозагрузка\igfxtray.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Саня\мои документы\РЕФЕРАТИ\laws.exe (Hoax.WebMoner) -> No action taken.
c:\WINDOWS.0\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS.0\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\WINDOWS.0\system32\kr_done1 (Malware.Trace) -> No action taken.
c:\WINDOWS.0\system32\MRS.exe (Backdoor.Bot) -> No action taken.[/CODE]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша.');
end
else
begin
AddToLog('Файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует!');
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386.');
end
else
begin
AddToLog('Файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует!');
end;
end;
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
SaveLog('sfcfiles.log');
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{1902AC25-71FF-4ACE-86C5-DCFA576771CB}');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Приложите файл [I]sfcfiles.log[/I] из папки с AVZ.
Сделайте новые логи virusinfo_syscheck (п.2 раздела Диагностика) и MBAM.
Уже сделано)
Файл [B]C:\WINDOWS.0\system32\sfcfiles.dll[/B] необходимо восстановить из дистрибутива или скопировать из здоровой системы той же версии.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Выполните скрипт в AVZ:
[code]
begin
SetServiceStart('Alerter', 4);
SetServiceStart('RemoteRegistry', 4);
ExecuteWizard('TSW',2,3,true);
ClearQuarantine;
QuarantineFile('muoguqn.sys','');
QuarantineFile('C:\WINDOWS.0\system32\Drivers\muoguqn.sys','');
BC_QrFile('C:\WINDOWS.0\system32\Drivers\muoguqn.sys');
BC_QrFile('C:\WINDOWS.0\system32\muoguqn.sys');
BC_QrFile('C:\WINDOWS.0\muoguqn.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
К сожелению после выполнения последнего скрипта и перезагрузки не удаётся войти в ос. систему, что могло случиться, есть ли возможность решить это?
Хмм... Последний скрипт кроме "косметики" и попытки карантина ничего не делал. А что происходит при попытке загрузиться? Попробуйте через F8 "Загрузку последней удачной конфигурации".
не могу зайти в безопасный режим.. Ф8 ввобще не реагирует.. удалось сфоткать сообщение, после которого и выбивает всегда
STOP: c000007b {Bad Image} дальше иероглифы
В биосе перед этим ничего не переключали? Такое бывает из-за несоответствия режима SATA контроллера (AHCI/RAID/IDE). Или из-за повреждения драйверов дисковых устройств.
[QUOTE='Quikwell;767153']Ф8 ввобще не реагирует[/QUOTE]
Если у вас навороченная "мультимедийная" клавиатура, поищите там клавишу F-Lock (или Office Lock), ее нужно нажать один раз перед F8.
В Биосе не лазил - удалось зайти в безопасный режим, но загрузка невыполняеться а пишеться на чёрном фоне SPTD.sys и a347bus.sys press ESC далее презагрузка..
Свою старую систему не удалял на нёё же поставил другую, так что заменить что-либо будет возможным)
[QUOTE='Bratez;767146']Попробуйте через F8 "Загрузку последней удачной конфигурации".[/QUOTE]
Пробовали?
Уже попробовал.. тоже самое STOP: c000007b
[size="1"][color="#666686"][B][I]Добавлено через 57 минут[/I][/B][/color][/size]
Хух.. всё стало нормально.. проблема была в файле sfcfiles.dll - он явно не подходил - потом решил скачать другой и система наладилась.. продолжим с того места.. щас пришлю новый карантин.
Важно, что первоначальная проблема решилась - могу снова заходить в нет-браузеры, всем огромное спасибо за указаную помощь)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows.0\\sgope.sys - [B]Rootkit.Win32.Qhost.bc[/B] ( DrWEB: Trojan.Hosts.5006, BitDefender: Trojan.Generic.KDV.118905, NOD32: Win32/Qhost.Banker.GA trojan, AVAST4: Win32:Hosti-A [Rtk] )[*] c:\\windows.0\\system32\\sfcfiles.dll - [B]Trojan-Spy.Win32.Agent.bpcb[/B] ( DrWEB: Trojan.WinSpy.990, BitDefender: Gen:Variant.Kazy.10709, AVAST4: Win32:Parchood-B [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]