Вирус заблокировал компьютер

Printable View

13.03.2009, 17:22
Legek

Вложений: 2

Вирус заблокировал компьютер

Здравствуйте. После заражения домашний компьютер не грузится (тоько в безопасном режиме). Появляется окно с сообщением "ваш компьютер заблокирован". До этого система просто тормозила. Заранее благодарен!
13.03.2009, 17:50
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\explore.exe"
O2 - BHO: (no name) - Control - (no file)
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\System32\NTerm.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\rapa82a.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\explore.exe','');
DeleteFile('C:\WINDOWS\system32\explore.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\System32\drivers\rapa82a.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=41610[/url]).
Сделайте новые логи.
13.03.2009, 19:10
Legek

Вложений: 3

Все сделал....Карантин выслал....Вот логи
13.03.2009, 19:31
light59

В нормальном режиме теперь система грузится?
13.03.2009, 19:33
Legek

Увы....ничего не изменилось
13.03.2009, 19:41
light59

Создайте новую учётку.
Попробуйте загрузиться с нею в норм режиме и сделать логи в AVZ.
13.03.2009, 22:31
Legek

Создал....Винды загрузились нормально, но при попытке выйти в Инет все повисло :(
13.03.2009, 22:46
light59

А вы в инет не выходите. Просто сделайте логи в AVZ. А потом в безопасном нам их пошлёте. Дальше мы скажем, что делать.
14.03.2009, 02:42
Legek

При попытке загрузить любую программу все виснет - и Инет и локльные тоже

[size="1"][color="#666686"][B][I]Добавлено через 47 секунд[/I][/B][/color][/size]

Я имею в виду новую учетную запись
14.03.2009, 02:57
Bratez

Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - Control - (no file)
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\portmap.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
14.03.2009, 04:41
Legek

Вложений: 2

Грузится старая учетная запись (уже без посторонних сообщений) , грузится новая. Но нитам ни там невозможно запустить никакую программу - зависает....вот логи
14.03.2009, 09:00
Legek

Боюсь сглазить, но все , вроде, заработало.....только при загрузке выскакивает ругань от Доктора Веба, которого среди инсталированных программ нет...после того как его (сообщение) убираю, все функционирует как раньше :D....не знаю как и благодарить :clapping:
14.03.2009, 09:26
Legek

Вложений: 2

Еще из замеченых глюков - компьютер тормозит при работе и жалуется на недостаток виртуальной памяти - такого ранее не замечалось
14.03.2009, 10:59
Гриша

Логи нужны по правилам...
14.03.2009, 13:16
Legek

Вложений: 3

Высылаю логи. Надеюсь, что по правилам
14.03.2009, 13:26
Гриша

Логи нужны из обычного режима...
14.03.2009, 13:49
Legek

Вложений: 1

Да я бы рад сам был сделать их в нормальном. Да вот только отрабатывает исключительно Хайджек, а AVZ и AVP увисают опять же из-за "недостатка виртуальной памяти"
15.03.2009, 13:21
Legek

Дело, видимо, в том, что грузятся и начинают работать антивирусы, которые удалены. Посмотрел в FAQ - но в реестре у себя не обнаружил ни drwebagnt ни spidernt, хотя, в диспетчере задач оба процесса при загрузке присутствуют....еще есть какой-то wuauclt.exe, который жрет до 100 процентов ресурса. Посоветуйте, что с этим делать
16.03.2009, 00:44
pig

wuauclt - это автоматическое обновление Windows. По Dr.Web - постучитесь к ним в техподдержку и попросите утилиту для чистки системы.
16.03.2009, 01:19
Alex_Goodwin

Кстати заодно и куреит пройдитесь. У вас был BackDoor.Zapinit который патчит системные файлы.
16.03.2009, 11:20
Legek

C антивирусом разобрался. По поводу wuauclt - согласен за исключением того, что больно странно себя ведет процесс. Увешивает компьютер в ноль, не давая загрузить ни одной программы, включая диспетчер задач. Где-то прочитал, что под него иногда маскируются вирусы. Причем делать ничего не надо. У компьютера после загрузки через 2 мин "сама собой" заканчивается виртуальная память. Не думаю, что это нормально. Придется, видимо, все-таки переставлять. Еще раз огромное спасибо всем кто помогает!!!!!!
16.03.2009, 19:27
pig

Попробуйте временно отключить службу "Автоматическое обновление". Тогда сразу узнаем, вирус или где.
16.03.2009, 22:54
Legek

В том и дело, что эта штуковина работает, игрнорируя всякие отключения. Появляется все равно. При попытке выгрузить процесс - выгружается, а потом восстанавливается как ни в чем не бывало >:(
17.03.2009, 02:05
pig

Выполните такой скрипт:
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile ('wuauclt.exe','');
RebootWindows(true);
end.[/code]
В карантин что-нибудь попадёт? Если нет - поищите через AVZ файл wuauclt.exe - где обнаружится?
17.03.2009, 15:19
Legek

Вложений: 1

После отработки скрипта файла в карантине нет...при попытке ручного поиска выводит протокол об ошибке карантина. Протокол прикрепряю.
18.03.2009, 15:19
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]34[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\svchost.exe - [B]Trojan-Downloader.Win32.Agent.bkwy[/B][*] c:\windows\system32\cssrss.exe - [B]Trojan-Proxy.Win32.Small.zw[/B]( BitDefender: DeepScan:Generic.Malware.SFYddldg.50CBBC75 )[*] c:\windows\system32\drivers\rapa82a.sys - [B]Trojan.Win32.Pakes.nhi[/B][*] c:\windows\system32\explore.exe - [B]Trojan.Win32.Agent2.fdq[/B][*] c:\windows\system32\portmap.exe - [B]Trojan-Ransom.Win32.SMSer.v[/B]( BitDefender: Trojan.Patched.CM )[*] c:\windows\system32\video.sys - [B]Trojan-PSW.Win32.Agent.mem[/B]( BitDefender: Trojan.Generic.1535977 )[*] c:\windows\system32\vmmreg32.dll - [B]Trojan-Dropper.Win32.BHO.aw[/B]( DrWEB: BackDoor.Zapinit.106 )[*] c:\windows\system32\winhelp32.exe - [B]Trojan.Win32.Agent.bsok[/B]( DrWEB: BackDoor.Zapinit.106, BitDefender: Trojan.Generic.1453916 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]