-
Вложений: 2
Вирус блокирует Windows.
31 декабря у меня выскочила весьма забавная табличка. Дескать, у вас установлена нелицензионная копия windows и т.д. В инструкции по получению кода необходимо переслать деньги на счет в Яндекс.деньги что сразу навело меня на мысль о вирусе.
Сообщение выскакивало сразу при входе в windows и выглядело приблизительно так:
Компьютер заблокирован.
При проверке подлинности Windows, было обнаружено, что на вашем компьютере установлено нелицензионное программное обеспечение. Для дальнейшей работы необходимо ввести код активации, указанный на коробке с диском или получить новый код активации, следуя инструкции.
Все это оформлено, что называется, "под microsoft" всеми силами, но всё равно в глаза бросается:)
При попытке зайти в безопасном режиме компьютер просто перезагружался, ничего не выдавая.
Для того, чтобы хоть что-то сделать я установил другую копию windows. Затем проверил полностью весь компьютер на вирусы. Dr. Web нашел несколько инфицированных файлов и удалил их.
После чего я вновь попробовал зайти в старую копию windows, но и на этот раз мне не удалось этого сделать. Сообщение "Компьютер заблокирован" больше не выскакивает и windows загружается. Но при загрузке появляется заставка (фон) и больше ничего:) Т.е. ни рабочего стола (ярлыков), ни пуск`а. При этом диспетчер задач работает, но больше никакие горячие клавишы не срабатывают.
P.S. Windows лицензионный. Все обновления скачаны и установлены. Антивирсная программа: Symantec.
-
После чего начались проблемы? Может после посещения какого-нибудь сайта, установки новой программы, запуска подозрительного файла?
-
В этот день было много всего. Сейчас уже начинаю подозревать все что угодно. Посещал разные сайты, скачал пару программ, затем играл в Warcraft на официальном сервере. Проблема началась как раз в момент игры. Игра свернулась и через секунду выскочила эта табличка, которую уже ничем не спихнуть.:(
-
Дайте не активную ссылку на официальный сервер Warcraft. Может на каком-то сайте браузер себя странно вел (зависал, закрывался и т.д.)?
-
На официальный сервер Warcraft зайти можно только имея установленную игру (по крайней мере я так захожу, может чего то не так описал....). Ни на каком сайте браузер себя странно не вел. Правда, Dr. Web в числе инфицированных файлов указал на скачанную программу для японских кроссвордов, которую я, естественно, удалил.
-
[quote=Maxim;166631]Дайте не активную ссылку на официальный сервер Warcraft. Может на каком-то сайте браузер себя странно вел (зависал, закрывался и т.д.)?[/quote]
Мой анализатор не находит прямого аналога по тексту сообщения. Тем не менее принцип работы и лечения понятны - эта зараза пости наверняка заменяет ключик, запускающий Explorer. То, что диспетчер задач запускается по трем кнопкам, это подтверждает - оттуда можно запустить AVZ и далее выполнить восстановление системы (Файл\Восстановление системы) - и том отметить скрипты 1,4,5,6,7,8,9,11,13,16,17 (можно скрипт для этого написать - это несложно, если нужно - напишу), нажать кнопку выполнения и затем перезагрузиться. В теории должно помочь ... Вот описание аналогичного случая: [url]http://www.z-oleg.com/secur/advice/adv1103.php[/url]
-
Олег, почему тогда в логе AVZ ни слова о блокировках?
-
[quote=Зайцев Олег;166644]эта зараза пости наверняка заменяет ключик, запускающий Explorer.[/quote]
Что Вы имеете ввиду под "ключиком", ещё и запускающим Explorer? Тогда как эта зараза не давала даже зайти в windows.
Восстановление системы выполнил только что. В результате загрузился рабочий стол (без фона правда, но я так понимаю, что это не важно) и вроде бы все работает кроме Internet Explorer`а. Когда я ввожу в адресную строку что-либо (адрес вашего сайта в данном случае) и потом нажимаю enter у меня начинает открываться ещё одно окно explorer`а и всё повисает (окна внутри остаются пустыми).
P.S. Пишу это сообщение со второй (после установленной) ОС.
-
И ещё достаточно часто на старом Windows`е прерывается доступ в интернет (при этом на новом все работает). Что с этим делать?
-
[quote=peculiar;166658]Что Вы имеете ввиду под "ключиком", ещё и запускающим Explorer? Тогда как эта зараза не давала даже зайти в windows.
Восстановление системы выполнил только что. В результате загрузился рабочий стол (без фона правда, но я так понимаю, что это не важно) и вроде бы все работает кроме Internet Explorer`а. Когда я ввожу в адресную строку что-либо (адрес вашего сайта в данном случае) и потом нажимаю enter у меня начинает открываться ещё одно окно explorer`а и всё повисает (окна внутри остаются пустыми).
P.S. Пишу это сообщение со второй (после установленной) ОС.[/quote]
В реестре есть ряд ключей, отвечающих за загрузку Eplorer - их зловред и портит. Раз помогло восстановление AVZ, то это уже полдела. Теперь следует сделать вот что:
1. Загрузиться на пораженном ПК и повторить логи, посмотрим, может, что-то в них изменилось. Перед снятием логов обязательно запустить IE
2. Следует поискать папку Backup в каталоге AVZ. Если таковая обнаружится, то ее следует сжать чем угодно (ZIP, RAR) и прицепить сюда - это старые значения ключей реестра, забекапленные AVZ в ходе правки - может быть, что-то там интересное найдется
3. AVZ, меню "Файл\Мастер поиска и устранения проблем". Следует в нем:
3.1. Поставить степень опасности "Все проблемы" и запустить поиск для категории "Системные проблемы". Все найденное пофиксить ...
3.2 данную операцию повторить для категории "Настройки и твики браузера" - все найденное следует пометить и пофиксить.
-
1. Как прикрепить лог к сообщению? (извините, но никак не могу сообразить)
2. Отослал zip-файл.
3. Сделал полностью. Во втором пункте что-то понаходило, все пофиксил, как и написали.
-
Вложений: 1
Разобрался:) Лог прикрепил.
-
[quote=peculiar;166874]Разобрался:) Лог прикрепил.[/quote]
Я советую выполнить скрипт и прислать содержимое карантина согласно правилам:
[code]
begin
QuarantineFile('C:\Program Files\Octoshape Streaming Services\Евгений\OctoshapeClient.exe','');
QuarantineFile('C:\WINDOWS\system32\IntEdReg.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\PRTdlink.dll','');
end.
[/code]
Не совсем ясно, что это за OctoshapeClient такой ? Еще момент - WinPcap установлен для каких-то задач ? (C:\Program Files\WinPcap\). Если он не нужен, то его стоит деинсталлировать.
-
OctoshapeClient это помойму что-то связанное с драйвером или программой для нормальной работы видеокарты (может конечно и путаю что-то).
Winpcap не знаю что такое, попробую удалить.
Код который Вы написали выполнить - выполнил. Выдало следующие:
Файл успешно помещен в карантин (C:\Program Files\Octoshape Streaming Services\Евгений\OctoshapeClient.exe)
Выполнен карантин файла C:\Program Files\Octoshape Streaming Services\Евгений\OctoshapeClient.exe
Файл успешно помещен в карантин (C:\WINDOWS\system32\IntEdReg.exe)
Выполнен карантин файла C:\WINDOWS\system32\intedreg.exe
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\svchost.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\svchost.exe)
Карантин с использованием прямого чтения - ошибка
Файл успешно помещен в карантин (C:\WINDOWS\system32\PRTdlink.dll)
Выполнен карантин файла C:\WINDOWS\system32\PRTdlink.dll
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
Winpcap удалил. Что это было так и не понял:) Все удалилось без проблем, но на проблему с Explorer`ом это никак не повлияло.
-
OctoshapeClient - это какая-то сетевая программа, судя по имени файла - это P2P медиасервер. Если таковой не устанавливался спечисльно, то его следует деиснсталлировать
-
[QUOTE=Зайцев Олег;166910]OctoshapeClient - это какая-то сетевая программа, судя по имени файла - это P2P медиасервер. Если таковой не устанавливался спечисльно, то его следует деиснсталлировать[/QUOTE]
Очень не хочется удалить что-нибудь "лишнее", чтобы ещё больших проблем не началось:)
Сейчас устновил на первую ОС Оперу и с нее нормально могу зайти (вот к примеру на ваш форум).
Так что видимо это проблема только с Explorer`ом, может быть стоит просто его переустановить?
Или может быть эта ошибка возникает из-за того, что у меня сейчас стоит две ОС. Может быть стоит удалить вторую, чтобы осталась только первая?
-
Ответьте мне кто-нибудь, пожалуйста:(
-
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('92780B25-18CC-41C8-B9BE-3C9C571A8263');
DelBHO('5541FAF3-07B6-4582-8968-C5C8EE902447');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин по [URL="http://virusinfo.info/upload_virus.php?tid=15903"]этой[/URL] ссылке. Повторите логи.
-
Выполняю описанный скирпт. Выскакивает табличка с надписью о том, что скрипт выполнен без ошибок. Нажимаю "ок" и система перезагружается (пробовал дважды).
P.S. Не подскажите как мне удалить вторую копию Windows с моего компьютера?
-
Ну и замечательно. Ждём карантин и повторные логи.
Page generated in 0.00750 seconds with 10 queries