-
Вложений: 3
medichi и не только :(
Здравствуйте! Счастливого всем Рождества!
Проблемы таковы:
Нарушение ассоциации EXE файлов
Нарушение ассоциации SCR файлов
Блокировка редактора реестра
Блокировка диспетчера задач
Блокировка панели управления
Заблокированы настройки системы Windows Update
CD/DVD диски не отпределяются
При перезагрузке в С:\WINDOWS\ - постоянно появляются
medichi.exe
medichi2.exe
murka.dat
Установлен NOD32. Сканер отрабатывает, но все не лечит.
Центр управления - не запускается.
CureIt - скачала. Экспресс проверка удалила 3 вируса.
В безопасном режиме запустить не смогла. Т.к. eхе-файлы не запускаются, я их запускаю через меню ПКМ "Запуск от имени".
В безопасном режиме так не получилось.
На CD скопировать тоже не могу.
AVZ и HijackThis - cкачала. Запускаются только переименованные. :(
Восстановление системы отключить не удалось.
-
1. Пофиксите:
[CODE]O4 - HKLM\..\Run: [syscache] C:\Program Files\Windows NT\NTmon.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\system32\newmaxxsv234.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O4 - HKCU\..\Run: [kernel] C:\Program Files\kernel\kernel.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: murka.dat
O23 - Service: ZZZsvc_lich - Unknown owner - C:\lich.exe (file missing)[/CODE]
2. Выполните скрипт: [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Cof49.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
QuarantineFile('C:\WINDOWS\murka.dat','');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\lich.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
3. После перезагрузки попробуйте в безопасном режиме [url]http://virusinfo.info/showthread.php?t=10387[/url]
-
Вложений: 3
Выполнила все 3 пункта. :)
С нетерпением жду дальнейших инструкций.:)
Спасибо за указания. :)
-
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\murka.dat','');
QuarantineFile('C:\WINDOWS\medichi2.exe','');
QuarantineFile('C:\WINDOWS\medichi.exe','');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Cof49.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\medichi.exe');
DeleteFile('C:\WINDOWS\medichi2.exe');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
BC_ImportAll;
BC_QrFile('C:\WINDOWS\system32\lrito59d-605c.sys');
BC_DeleteFile('C:\WINDOWS\medichi.exe');
BC_DeleteFile('C:\WINDOWS\medichi2.exe');
BC_DeleteFile('C:\WINDOWS\murka.dat');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
BC_DeleteSvc('Cof49');
BC_DeleteFile('C:\WINDOWS\system32\taskmon.sys');
BC_DeleteSvc('taskmon');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Карантин пришлите
-
Пробовала 3 раза запустить скрипт.
Сначала все идет хорошо. :)
Успеваю заметить красненькую строчку:"Код перехватчика нейтрализован".
И тут- :( экран гаснет - и все зависает.
Перезагружаюсь кнопкой... :(
Лог сохранить не успеваю.
Но карантин отправила согласно Приложению 3 в Правилах. Хотя не уверена, что правильно Вас поняла...
-
-
Вложений: 2
В AVZ - Стандартный "Скрипт лечения/карантина и сбора информации..." тоже дает - черный экран и зависание :(
Лог сделать не получилось. :(
-
c:\windows\medichi.exe - [B]not-virus:Hoax.Win32.Renos.aom[/B]
c:\windows\medichi2.exe [B]Trojan.Win32.Agent.dqz[/B]
C:\WINDOWS\murka.dat [B]Backdoor.Win32.Small.cbo[/B]
C:\WINDOWS\System32\Drivers\Beep.SYS [B]Rootkit.Win32.Agent.sv[/B]
C:\WINDOWS\system32\Drivers\Cof49.sys [B]Rootkit.Win32.Agent.sc[/B]
отключите антивирус ...
пофиксите ...
[code]
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O20 - AppInit_DLLs: murka.dat
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll
[/code]
выполните скрипт....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\medichi.exe');
DeleteFile('C:\WINDOWS\medichi2.exe');
BC_DeleteSvc('Beep');
BC_DeleteSvc('Cof49');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...
-
Вложений: 3
Ваш скрипт сначала тоже прервался черным экраном.
Но я его запустила в безопасном режиме.
И УРА!!! :) Он отработал.
И после него и другие скрипты стали запускаться уже не в безопасном...
И хотя вирусы не побеждены - настроение поднялось.
Спасибо!!!:xmas:
-
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пофиксите ....
[code]
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O20 - AppInit_DLLs: murka.dat
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll (file missing)
[/code]
пришлите карантин согласно приложения 3 правил .
-
Скрипт выполнила.
Все само перезагрузилось.
Пофиксила.
Карантин отправила. Только он какой-то подозрительно пустой.:smile:
Перезагрузилась еще раз.
В C:\WINDOWS этих медичей больше нет. Просто не верю глазам своим.:unsure::biggrinsanta:
А вот это как мне грамотно все назад вернуть?
"Нарушение ассоциации EXE файлов
Нарушение ассоциации SCR файлов
Блокировка редактора реестра
Блокировка диспетчера задач
Блокировка панели управления
Заблокированы настройки системы Windows Update
CD/DVD диски не отпределяются"
-
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
BC_ImportQuarantineList;
BC_DeleteSvc('taskmon.sys');
BC_DeleteSvc('TSP');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/code]
Если карантин будет не пустой - пришлите.
-
Выполнила.
Карантин пустой. :(
Медичей в C:\WINDOWS нет.
Но при выполнении скрипта были 4 строчки красненьким.
"Ошибка...
Потом что-то про карантин
Ошибка...
И опять про карантин"
Но не успела прочесть. Окошко другое закрывало.
И перезагрузилось все очень быстро.
-
Сделайте лог virusinfo_syscheck для контроля
-
Вложений: 3
Ура!
Медичей нет!
Диспетчер задач разблокировался!
Nоd32, правда, выдает:
[I]"Ошибка при сканировании MBR сектора физического диска 1. Ошибка чтения сектора"[/I]
Это плохо?
Логи прилагаю.
[SIZE=3][COLOR=magenta][B]Всем огромное спасибище!!![/B][/COLOR][/SIZE]
Только как же эти ассоциации к EXE файлам вернуть?
Осталось:
[I]"Нарушение ассоциации EXE файлов
Нарушение ассоциации SCR файлов"[/I]
regedit - тоже не запускается... :(
И CD/DVD диски по-прежнему не видятся.
Но это уже все мелочи по сравнению с тем, что было. :)
Хотя я пока не знаю, как их поправить...
Советам буду рада. :)
-
выполните скрипт...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(17);
BC_DeleteSvc('lrito59d-605c');
BC_Activate;
RebootWindows(true);
end.
[/code]
avz-мастер поиска и устранения проблем - выбираете проблемы - устранить ...
-
Все выполнила.
Ура-а-а-а-а-!
Никогда не думала, что можно столько радости получить просто потому, что:
тык мышкой по значку - запускается!:girl_smile:
Мастер поиска и устранения проблем не нашел проблем!
[SIZE=3][COLOR=magenta]Спасибо всему сервису VirusInfo - просто за то, что вы есть, ребята![/COLOR][/SIZE]
-
Вложений: 1
Только сканер NOD32 нашел 31 вирус в файлах восстановления.:?
Это чем грозит?
-
Восстановление системы: включено / отключите ... и включите ... все зловреды законсервированные в восстановлении будут уничтожены ...
-
Спасибо! Теперь все ОК. :)
Page generated in 0.00946 seconds with 10 queries