-
Вложений: 3
medichi и не только :(
Здравствуйте! Счастливого всем Рождества!
Проблемы таковы:
Нарушение ассоциации EXE файлов
Нарушение ассоциации SCR файлов
Блокировка редактора реестра
Блокировка диспетчера задач
Блокировка панели управления
Заблокированы настройки системы Windows Update
CD/DVD диски не отпределяются
При перезагрузке в С:\WINDOWS\ - постоянно появляются
medichi.exe
medichi2.exe
murka.dat
Установлен NOD32. Сканер отрабатывает, но все не лечит.
Центр управления - не запускается.
CureIt - скачала. Экспресс проверка удалила 3 вируса.
В безопасном режиме запустить не смогла. Т.к. eхе-файлы не запускаются, я их запускаю через меню ПКМ "Запуск от имени".
В безопасном режиме так не получилось.
На CD скопировать тоже не могу.
AVZ и HijackThis - cкачала. Запускаются только переименованные. :(
Восстановление системы отключить не удалось.
-
1. Пофиксите:
[CODE]O4 - HKLM\..\Run: [syscache] C:\Program Files\Windows NT\NTmon.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\system32\newmaxxsv234.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O4 - HKCU\..\Run: [kernel] C:\Program Files\kernel\kernel.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: murka.dat
O23 - Service: ZZZsvc_lich - Unknown owner - C:\lich.exe (file missing)[/CODE]
2. Выполните скрипт: [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Cof49.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
QuarantineFile('C:\WINDOWS\murka.dat','');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\lich.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
3. После перезагрузки попробуйте в безопасном режиме [url]http://virusinfo.info/showthread.php?t=10387[/url]
-
Вложений: 3
Выполнила все 3 пункта. :)
С нетерпением жду дальнейших инструкций.:)
Спасибо за указания. :)
-
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\murka.dat','');
QuarantineFile('C:\WINDOWS\medichi2.exe','');
QuarantineFile('C:\WINDOWS\medichi.exe','');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Cof49.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\medichi.exe');
DeleteFile('C:\WINDOWS\medichi2.exe');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
BC_ImportAll;
BC_QrFile('C:\WINDOWS\system32\lrito59d-605c.sys');
BC_DeleteFile('C:\WINDOWS\medichi.exe');
BC_DeleteFile('C:\WINDOWS\medichi2.exe');
BC_DeleteFile('C:\WINDOWS\murka.dat');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
BC_DeleteSvc('Cof49');
BC_DeleteFile('C:\WINDOWS\system32\taskmon.sys');
BC_DeleteSvc('taskmon');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Карантин пришлите
-
Пробовала 3 раза запустить скрипт.
Сначала все идет хорошо. :)
Успеваю заметить красненькую строчку:"Код перехватчика нейтрализован".
И тут- :( экран гаснет - и все зависает.
Перезагружаюсь кнопкой... :(
Лог сохранить не успеваю.
Но карантин отправила согласно Приложению 3 в Правилах. Хотя не уверена, что правильно Вас поняла...
-
-
Вложений: 2
В AVZ - Стандартный "Скрипт лечения/карантина и сбора информации..." тоже дает - черный экран и зависание :(
Лог сделать не получилось. :(
-
c:\windows\medichi.exe - [B]not-virus:Hoax.Win32.Renos.aom[/B]
c:\windows\medichi2.exe [B]Trojan.Win32.Agent.dqz[/B]
C:\WINDOWS\murka.dat [B]Backdoor.Win32.Small.cbo[/B]
C:\WINDOWS\System32\Drivers\Beep.SYS [B]Rootkit.Win32.Agent.sv[/B]
C:\WINDOWS\system32\Drivers\Cof49.sys [B]Rootkit.Win32.Agent.sc[/B]
отключите антивирус ...
пофиксите ...
[code]
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O20 - AppInit_DLLs: murka.dat
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll
[/code]
выполните скрипт....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\medichi.exe');
DeleteFile('C:\WINDOWS\medichi2.exe');
BC_DeleteSvc('Beep');
BC_DeleteSvc('Cof49');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...
-
Вложений: 3
Ваш скрипт сначала тоже прервался черным экраном.
Но я его запустила в безопасном режиме.
И УРА!!! :) Он отработал.
И после него и другие скрипты стали запускаться уже не в безопасном...
И хотя вирусы не побеждены - настроение поднялось.
Спасибо!!!:xmas:
-
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пофиксите ....
[code]
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O20 - AppInit_DLLs: murka.dat
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll (file missing)
[/code]
пришлите карантин согласно приложения 3 правил .
-
Скрипт выполнила.
Все само перезагрузилось.
Пофиксила.
Карантин отправила. Только он какой-то подозрительно пустой.:smile:
Перезагрузилась еще раз.
В C:\WINDOWS этих медичей больше нет. Просто не верю глазам своим.:unsure::biggrinsanta:
А вот это как мне грамотно все назад вернуть?
"Нарушение ассоциации EXE файлов
Нарушение ассоциации SCR файлов
Блокировка редактора реестра
Блокировка диспетчера задач
Блокировка панели управления
Заблокированы настройки системы Windows Update
CD/DVD диски не отпределяются"
-
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
BC_ImportQuarantineList;
BC_DeleteSvc('taskmon.sys');
BC_DeleteSvc('TSP');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/code]
Если карантин будет не пустой - пришлите.
-
Выполнила.
Карантин пустой. :(
Медичей в C:\WINDOWS нет.
Но при выполнении скрипта были 4 строчки красненьким.
"Ошибка...
Потом что-то про карантин
Ошибка...
И опять про карантин"
Но не успела прочесть. Окошко другое закрывало.
И перезагрузилось все очень быстро.
-
Сделайте лог virusinfo_syscheck для контроля
-
Вложений: 3
Ура!
Медичей нет!
Диспетчер задач разблокировался!
Nоd32, правда, выдает:
[I]"Ошибка при сканировании MBR сектора физического диска 1. Ошибка чтения сектора"[/I]
Это плохо?
Логи прилагаю.
[SIZE=3][COLOR=magenta][B]Всем огромное спасибище!!![/B][/COLOR][/SIZE]
Только как же эти ассоциации к EXE файлам вернуть?
Осталось:
[I]"Нарушение ассоциации EXE файлов
Нарушение ассоциации SCR файлов"[/I]
regedit - тоже не запускается... :(
И CD/DVD диски по-прежнему не видятся.
Но это уже все мелочи по сравнению с тем, что было. :)
Хотя я пока не знаю, как их поправить...
Советам буду рада. :)
-
выполните скрипт...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(17);
BC_DeleteSvc('lrito59d-605c');
BC_Activate;
RebootWindows(true);
end.
[/code]
avz-мастер поиска и устранения проблем - выбираете проблемы - устранить ...
-
Все выполнила.
Ура-а-а-а-а-!
Никогда не думала, что можно столько радости получить просто потому, что:
тык мышкой по значку - запускается!:girl_smile:
Мастер поиска и устранения проблем не нашел проблем!
[SIZE=3][COLOR=magenta]Спасибо всему сервису VirusInfo - просто за то, что вы есть, ребята![/COLOR][/SIZE]
-
Вложений: 1
Только сканер NOD32 нашел 31 вирус в файлах восстановления.:?
Это чем грозит?
-
Восстановление системы: включено / отключите ... и включите ... все зловреды законсервированные в восстановлении будут уничтожены ...
-
Спасибо! Теперь все ОК. :)
-
>> Нарушение ассоциации EXE файлов
>> Нарушение ассоциации SCR файлов
Выполните скрипт:
[code]var
X : integer;
begin
X := ExecuteWizard('TSW', 1, 1, true);
AddToLog('Количество найденных проблем = '+inttostr(X));
end.[/code]
-
Выполнила:
[I]"Количество найденных проблем = 0"[/I]
Очень приятно это читать. :)
Спасибо.
-
При попытке запустить брандмауэр выдается:
[I]"вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows"[/I]
-
[url]http://support.microsoft.com/kb/920074/ru[/url]
-
Начала со способа 2, приведенного в ссылке
на шаге:
[I]6.[/I][I]Выберите в меню [B]Пуск[/B] пункт [B]Выполнить[/B], введите команду firewall.cpl и нажмите кнопку [B]ОК[/B].[/I]
появляется все то же сообщение:[I]Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows.[/I]
Попробовала способ 1.
после:
[I]2.[/I][I]Введите следующую команду в командной строке и нажмите клавишу ВВОД: [/I][I]Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf[/I]
появляется сообщение:
[I]Ошибка[/I]
[I]Установка не выполнена[/I]
Переустанавливать Windows очень не хочется. :(
Другого выхода нет?
-
[quote=Мiшелька;169984]Другого выхода нет?[/quote]
Есть.
Забыть про виндовский Бранмауер и поставить сторонний фаерволл.
-
[quote=Bratez;169988]Есть.
Забыть про виндовский Бранмауер и поставить сторонний фаерволл.[/quote]:girl_sigh:А вот такой же, только с перламутровыми пуговицами есть? - Будем искать...
Это я шутками прикрываю свою некомпетентность... Почитала немного про фаерволлы... И запуталась - что же устанавливать? Советам буду рада. Заранее спасибо за проявленное ко мне терпение. :)
-
[url]http://virusinfo.info/showthread.php?t=3721[/url]
[url]http://virusinfo.info/showthread.php?t=1755[/url]
И вообще весь подфорум [url]http://virusinfo.info/forumdisplay.php?f=40[/url]
-
[quote=rubin;170114][URL]http://virusinfo.info/showthread.php?t=3721[/URL]
[URL]http://virusinfo.info/showthread.php?t=1755[/URL]
И вообще весь подфорум [URL]http://virusinfo.info/forumdisplay.php?f=40[/URL][/quote]:) Так я там и запуталась :) Слишком большой выбор. :) Не могу ни на что решиться. :) И боюсь, что пока я тут думаю, новых проблем себе наловлю. Все равно - спасибо.:) Посоветуюсь с кем-нибудь.
-
что бы долго не думать [URL="http://www.personalfirewall.comodo.com/"]comodo[/URL] бесплатный и очень приличный фаервол ... причем с поддержкой русского языка ...
-
Ура! Установила.:) Уже комодит вовсю. Только я его пока не очень понимаю.
Он спрашивает:
[B][I]"GenericHost Рrocess for Win32 Servises[/I][/B]
[I]пытается подключиться к Internet[/I]
[I]Что следует делать?[/I]
[I]Приложен: svchost.exe[/I]
[I]Удаленный IP: ...(там разные бывают адреса)[/I]
[I]Родитель: services.exe[/I]
[I]Разрешить? Запретить?"[/I]
Ну, я ему пока на радостях все разрешаю.
Но как-то не уверена...
Попробую, конечно, сама разобраться.
Но с вашими советами продвигаюсь гораздо быстрее.
Еще раз всем огромное СПАСИБО.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\medichi.exe - [B]Hoax.Win32.Renos.aom[/B] (DrWEB: Trojan.Click.16393)[*] c:\\windows\\medichi2.exe - [B]Trojan.Win32.Agent.dqz[/B] (DrWEB: Trojan.Click.16393)[*] c:\\windows\\murka.dat - [B]Backdoor.Win32.Small.cbo[/B] (DrWEB: Trojan.Proxy.1739)[*] c:\\windows\\system32\\drivers\\beep.sys - [B]Rootkit.Win32.Agent.sv[/B] (DrWEB: Trojan.Click.16393)[*] c:\\windows\\system32\\drivers\\cof49.sys - [B]Rootkit.Win32.Agent.sc[/B] (DrWEB: Trojan.NtRootKit.660)[/LIST][/LIST]
Page generated in 0.00807 seconds with 10 queries