При переходе в безопасный режим - выходит синий экран с ошибкой.
Самопроизвольно закрываются антивирусные программы, ограничен доступ ко многим сайтам.
При загрузке windows многочисленные ошибки.
Пожалуйста помогите вылечить ПК.
Printable View
При переходе в безопасный режим - выходит синий экран с ошибкой.
Самопроизвольно закрываются антивирусные программы, ограничен доступ ко многим сайтам.
При загрузке windows многочисленные ошибки.
Пожалуйста помогите вылечить ПК.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ekugb3.bat','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\ekugb3.bat');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]
quarantine.zip - загрузился.
[B]Сделать лог Gmer невозможно. После запуска сканирования, через несколько секунд выходит синий экран с ошибкой.[/B]
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL], если не получится попробуйте сделать лог [COLOR="Blue"][B]Combofix[/B][/COLOR] в безопасном режиме
спасибо, сделала лог [B]combofix[/B]
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\wbluel.dll
Driver::
hyegu
NetSvc::
hyegu
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4112:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hyegu]
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
- Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
сделано
сейчас сделаю лог MBAM
- [B][COLOR="Red"]Обязательно!!! Отключите системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\autorun.inf');
DeleteFile('C:\ekugb3.bat');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
лог virusinfo_syscheck.zip
[B]А лог MBAM... буду делать очень долго... (полная проверка идет скорее всего несколько часов)[/B]
Восстановление системы отключенно
[QUOTE=Anna_7;725561]
[B]А лог MBAM... буду делать очень долго... (полная проверка идет скорее всего несколько часов)[/B]
[/QUOTE]
- оставьте на ночь- утром выложите.
Пришлите файлы [QUOTE]C:\ekugb3.bat
C:\autorun.inf[/QUOTE] запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
[QUOTE=polword;725563]- оставьте на ночь- утром выложите.
Пришлите файлы запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы[/QUOTE]
C:\ekugb3.bat
C:\autorun.inf
найти невозможно (они не отображаются) (хотя галочку отображать скрытые файлы и папки поставила)
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
C:\ekugb3.bat - не найден.
C:\autorun.inf - отправила в архиве (по ссылке выше)
[B]с трудом нашла через обычный поиск, по директории с:\qoobox\quarantine\c[/B]
[size="1"][color="#666686"][B][I]Добавлено через 49 секунд[/I][/B][/color][/size]
[COLOR="Red"][B]Файл сохранён как 101028_153632_virus_4cc960407c191.zip[/B][/COLOR]
лог [B]MBAM[/B]
удалите в mbam
[code]
HKEY_CURRENT_USER\SOFTWARE\44 (Malware.Trace) -> No action taken.
[/code]
повторите лог авз
Сделала, какие-нибудь еще логи нужны?
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\ekugb3.bat');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\ekugb3.bat');
BC_DeleteFile('C:\autorun.inf');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
Сделано
у вас диски расшарены ?
нет
выполните скрипт
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
BC_DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\ekugb3.bat');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите лог авз
К сожалению, после запуска скрипта - появляется ошибка (скрипт не выполняется) и происходит перезагрузка.
Замечу, что теперь перезагрузка происходит с зависанием, т.е. висит окно "Завершение сеанса" и возобновление загрузки не происходит. Приходится нажимать reset.
лог, после неудачного выполнения предыдущего скрипта
попробуйте удалить C:\autorun.inf и C:\ekugb3.bat
так [url]http://virusinfo.info/showthread.php?t=17228[/url]
затем сделайте лог авз
Скачала, распаковала, но при запуске - вылетает синий экран смерти.
В безопасном режиме тоже невозможно загрузиться, все тот же синий экран.
Какие еще будут предложения кроме переустановки windows :(
выполните скрипт
[code]
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]
повторите лог авз
Со своего ПК вышлю завтра свежий ЛОГ AVZ (сейчас отписала тут с др.пк), т.к. с моего пошел мощный исходящий трафик, и сайты практически не грузятся.
вот стандарт скрипт сбора инфо. [U]Вирус стал время от времени блокировать выход на ваш сайт и на касперски.[/U]
загрузитесь с какого-нибудь LiveCD и попробуйте удалить файлы C:\autorun.inf и C:\ekugb3.bat
т.е нажать в Антивирусе Касперского "создать диск аварийного восстановления", загрузится с него, и с помощью IceSword найти и удалить те файлы?
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 17 минут[/I][/B][/color][/size]
С помощью [B]Антивируса Касперского создала аварийный диск[/B], в биосе сделала загрузку [B]с CDROM[/B], но загрузится не могу. [B]Выдает ошибку при загрузке.[/B]
Пропадает последняя надежда на удаление этого вируса.
[B]Доступ к сайтам появился кстати.[/B] Но систему эти файлы [B]C:\autorun.inf и C:\ekugb3.bat[/B] так и [U]не покидают[/U].
Как можно избавиться от этого вируса, выматывает ((
[B][COLOR="Red"]Что-нибудь известно, о файле который я высылала в карантин (по ссылке выше)? Может обновления какие-нибудь выйдут... ?[/COLOR][/B]
p.s. при технологии активного лечения Касперским, на последнем % лечения, происходит перезагрузка. Зараженные файлы остются в системе.
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 45 минут[/I][/B][/color][/size]
Этот вирус более чем хитёр...Вредоносные Файлы C:\autorun.inf и C:\ekugb3.bat нигде не отображались, с полчаса назад я,уже совсем отчаянная, зашла в диск С - вкладка СЕРВИС - свойства папки - ВИД - и убрала галочку с СКРЫВАТЬ ЗАЩИЩЁННЫЕ СИСТЕМНЫЕ ФАЙЛЫ(РЕКОМЕНДУЕТСЯ) .... И о чудо! Эти файлы стали призрачно отображаться (полупрозрачные) Ну хоть какой-то сдвиг!.. Далее я пыталась удалит их с помощью 59_DeleteDoctor.rar, unlocker1.9.0.exe и всё снова безрезультатно! Что делать дальше, уже и не знаю... Я в полном расстройстве!
пролечитесь [URL="http://virusinfo.info/showpost.php?p=648638&postcount=5"]так[/URL]
если не получится загрузитесь с [URL="http://www.freedrweb.com/livecd/?lng=ru"]LiveCD [/URL] и попробуйте удалить эти файлы
Хорошо попробую.
Хочу сказать, что смогла загрузить систему в безопасном режиме. [B]Сделала свежие логи, может что то увидите.[/B]
Файлы [B]autorun.inf, ekugb3.bat повреждены, и невозможно прочесть.[/B]
Программа[B] IceSWord[/B] запустилась в безопасном режиме, выполнила инструкции по удалению autorun.inf, ekugb3.bat - файлы , к сожалению [B]удалены не были.[/B]
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]
Лог Гмер сделать не получается. после того, как начинается сканирование, выползает синий экран.
[QUOTE=polword;725919]пролечитесь [URL="http://virusinfo.info/showpost.php?p=648638&postcount=5"]так[/URL]
если не получится загрузитесь с [URL="http://www.freedrweb.com/livecd/?lng=ru"]LiveCD [/URL] и попробуйте удалить эти файлы[/QUOTE]
тогда попробуйте так
[QUOTE=polword;726146]тогда попробуйте так[/QUOTE]
Запустила систему с [COLOR="Green"][B]Dr.Web LiveCD[/B][/COLOR]
Идет сканирование, и эти [U]файлы он обнаружил[/U], по окончанию проверки, видимо можно будет их [B]удалить[/B].
[code][B]c:\autorun.inf[/B] infected with [COLOR="Red"][B]win32.HLLW.Autoruner.1469[/B][/COLOR]
и [B]c:/ekugb3.bat[/B] infected with
[COLOR="#ff0000"][B]Trojan.MulDrop.6474[/B][/COLOR]
[/code]
[I]После удаления, сделаю свежие логи и вышлю.[/I]
будем надеяться на лучший результат. Ждем логи
После удачной безопасной загрузки с LiveCD удалось удалить оба файла, после загрузилась обыкновенно, в папке С эти привидения-зловреды уже не найдены! Сделала все нужные скрипты и ЛОГ. Свет в конце тоннеля вроде замерцал...
1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
O4 - Startup: PowerReg Scheduler.exe
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Qoobox\Quarantine\C\_autorun_.inf.zip');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.4[/URL] или удалите старый.
После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
Всё выполнила по инструкции, можно облегчённо выдохнуть... Вирус покинул компьютер!
[B]СПАСИБО ОГРОМНОЕ [U]polword[/U] и V_Bond за помощь!!![/B]
P.S Почувствовала себя жертвой фильма ужасов =)
Оказывается, это не конец.
[B][COLOR="Red"]Антивирус снова находит зараженный файл. И не может его удалить[/COLOR][/B]. Каждый раз при загрузке системы одно и тоже сообщение. Обнаружен вирус.