Не могу запустить ни Firefox, ни Chome - выскакивает табличка про ограничения. Пробовал грузиться с LiveCD Касперского и Др. Веб - оба при сканировании зацикливаются и бегают по кругу. Помогите, пожалуйста!
Не могу запустить ни Firefox, ни Chome - выскакивает табличка про ограничения. Пробовал грузиться с LiveCD Касперского и Др. Веб - оба при сканировании зацикливаются и бегают по кругу. Помогите, пожалуйста!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\windows\system32\cmdow.exe','');
QuarantineFile('C:\windows\system32\sdra64.exe','');
QuarantineFile('C:\windows\System32\Drivers\at5683az.SYS','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\0wuBPNlq.sys','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\0wuBPNlq.sys');
DeleteFile('C:\windows\system32\sdra64.exe');
DeleteFile('C:\windows\System32\Drivers\at5683az.SYS');
DeleteFile('C:\windows\system32\cmdow.exe');
DeleteFileMask('%tmp%','*.*',true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_DeleteFile('C:\windows\System32\Drivers\at5683az.SYS');
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\0wuBPNlq.sys');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].
Сделайте новые логи
Вот, отослал...
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
А с новыми логами что сделать? Сюда прислать? или как
[QUOTE='alpauk;701343']А с новыми логами что сделать? Сюда прислать? или ка[/QUOTE]Какрантин по ссылке. Логи прикрепить к сообщению
[QUOTE=Venus Doom;701346]Какрантин по ссылке. Логи прикрепить к сообщению[/QUOTE]
Вот это, как я понимаю?
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\windows\System32\Drivers\aclrqdpr.SYS','');
DeleteFile('C:\windows\System32\Drivers\aclrqdpr.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\windows\System32\Drivers\aclrqdpr.SYS');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].
Сделайте новые логи
[QUOTE=Venus Doom;701346]Какрантин по ссылке. Логи прикрепить к сообщению[/QUOTE]
и вот этот, наверно?
Да. Выполняйте скрипт
[QUOTE=Venus Doom;701367]Да. Выполняйте скрипт[/QUOTE]
вот...
и карантин отправил.
[QUOTE=alpauk;701380]вот...
и карантин отправил.[/QUOTE]
а день взял, да и кончился...
Предлагаете мне сутками сидеть на форуме :)
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
[QUOTE=Venus Doom;701602]Предлагаете мне сутками сидеть на форуме :)
Скачайте [URL="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([B]RSIT[/B]) в корне системного диска.[/QUOTE]
Нет, конечно))) Просто мне раньше удавалось избегать таких напастей, и я хорошенько забыл, что такое IE ))) ад кромешный
логи приложил
Хнык...
Другими словами, я запускал CureIt из-под ERD Commandera, тот ничего не нашел. Видимо сам вирус уже прибит. Но FF и хром по-прежнему недоступны. Видимо, вирус пошустрил в реестре... Как бы знать, что там поправить?...
Переустановить пробовали?
[QUOTE=Venus Doom;702946]Переустановить пробовали?[/QUOTE]
Хм. Думал, что без толку... Сейчас попробую.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[QUOTE=Venus Doom;702946]Переустановить пробовали?[/QUOTE]
Ура. Или, по крайней мере, пока "ура". Посмотрим, как стоять будет) Спасибо большое за помощь, я было отчаялся))
Ну вот :)
Да, в прошлый раз, на отцовсом компе у меня этот номер не прошел)
[QUOTE='alpauk;703010']Да, в прошлый раз, на отцовсом компе у меня этот номер не прошел)[/QUOTE]
Значит какая-то гадость там осталась
[QUOTE=Venus Doom;703013]Значит какая-то гадость там осталась[/QUOTE]
Мдаа... Перезагрузка расставила все по местам((( Значит, не так все просто. Что ж теперь делать-то?
[QUOTE='alpauk;703125']Что ж теперь делать-то?[/QUOTE]Новые логи :)
[QUOTE=Venus Doom;703126]Новые логи :)[/QUOTE]
Вот...
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\windows\System32\Drivers\a4ievs5r.SYS','');
DeleteFile('C:\windows\System32\Drivers\a4ievs5r.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\windows\System32\Drivers\a4ievs5r.SYS');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].
Сделайте новые логи
вот, прислал анализы)
[url]http://virusinfo.info/showthread.php?t=58309[/url] сделайте такой лог
[QUOTE=Venus Doom;703518][URL]http://virusinfo.info/showthread.php?t=58309[/URL] сделайте такой лог[/QUOTE]
Combofix дважды выбросил в BSOD, стоит ли продолжать в том же духе? Никакого лога он оставить не успевает.
Т.е. браузеры не работают? Попробуйте поискать в реестре параметр DisallowRun (вроде такой). Если найдется, укажите его значение
[QUOTE=thyrex;703561]Т.е. браузеры не работают? Попробуйте поискать в реестре параметр DisallowRun (вроде такой). Если найдется, укажите его значение[/QUOTE]
Единица стоит. А как посмотреть, что он запрещает?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[QUOTE=thyrex;703561]Т.е. браузеры не работают? Попробуйте поискать в реестре параметр DisallowRun (вроде такой). Если найдется, укажите его значение[/QUOTE]
И есть еще папка с таким же названием, там перечислены браузеры (кроме IE) 1- опера, 2 - ФФ, 3 - Хром, 4 - Сафари.
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
[QUOTE=thyrex;703561]Т.е. браузеры не работают? Попробуйте поискать в реестре параметр DisallowRun (вроде такой). Если найдется, укажите его значение[/QUOTE]
Таак, пока интересно) Вытер названия браузеров в этих параметрах - ФФ работает. Пока. Первый холодный рестарт его, по крайней мере не убил)
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[B]thyrex[/B], скажите, а ведь много что после вирусов остается в реестре. Вот у меня на работе какую-то заразу вылечили, а проставленная ей настройка, не позволяющая отображать скрытые файлы так и осталась заблокирована. Ведь та же история, наверно? Причем если Проводник и прочие привычные файл-менеджеры ей строго руководствуются, то FastStone ImageViewer скрытые папки таки показывает)
[QUOTE='alpauk;703565']а проставленная ей настройка, не позволяющая отображать скрытые файлы так и осталась заблокирована[/QUOTE]Проверьте в реестре в ветке [code]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced[/code] параметры [b]ShowSuperHidden, SuperHidden, Hidden[/b] на предмет равенства "1" (это правильное значение)
А также в ветке
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL[/code] параметр "[b]CheckedValue[/b]" тоже должен быть "1"
[QUOTE=thyrex;703598]Проверьте в реестре в ветке [code]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced[/code] параметры [B]ShowSuperHidden, SuperHidden, Hidden[/B] на предмет равенства "1" (это правильное значение)
А также в ветке
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL[/code] параметр "[B]CheckedValue[/B]" тоже должен быть "1"[/QUOTE]
Аагромное человеческое спасибо! IE - просто инвалидная коляска((( надо ему тоже disablerun прописать)))
И за второй совет спасибо, как только выйду в забой - непременно применю.
:094: Да здравствуют хранители тайных знаний!:-)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cmdow.exe - [B]not-a-virus:RiskTool.Win32.HideWindows.o[/B][/LIST][/LIST]