-
Junior Member
- Вес репутации
- 55
Вирус блокировал права администратора!
Здравствуйте!
Две недели назад ноутбук был заражён вирусом, флэшкой или из инета.
Диспетчер задач заблокирован, редактирование реестра запрещено, антивирусы бездействуют! Проверку на вирусы сделал с помощью LiveCD. 233 infected. Программы вылетают!
Требуется помощь!
Логи по правилам!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
DeleteService('abp470n5');
QuarantineFile('main.vbe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','explorer');
DelCLSID('67KLN5J0-4OPM-33WE-AAX5-24KC2A323342');
QuarantineFile('C:\SYSTEM\FOLDER\AmdSys.exe','');
DeleteService('esihdrv');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\esihdrv.sys','');
QuarantineFile('c:\windows\system32\55267d\n2-50875.exe','');
QuarantineFile('c:\windows\system32\a89d45\e1aa6e.exe','');
DeleteFile('c:\windows\system32\a89d45\e1aa6e.exe');
DeleteFile('c:\windows\system32\55267d\n2-50875.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\E_4\spec.fne');
DeleteFile('C:\WINDOWS\system32\55267D\dp1.fne');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\esihdrv.sys');
DeleteFile('C:\SYSTEM\FOLDER\AmdSys.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
В памяти виден драйвер вируса Sality (Sector). Установите надежные пароли на учетные записи пользователей с правами администратора.
Как лечить файловый вируc: http://virusinfo.info/showthread.php?t=15927
-
-
Junior Member
- Вес репутации
- 55
- Прислал запрошенный карантин!
- Сделал новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip)
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kernel~1\csrss.exe','');
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\mgphon.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mgphon.sys');
DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\NEventMessages.dll');
DeleteFile('C:\WINDOWS\system32\kernel~1\csrss.exe');
ExecuteRepair(11);
ExecuteRepair(17);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 55
- прислал карантин!
- повторил логи!
-
AVZ файловый вирус вылечить не может. Логи новые делать смысла нет. Ваш антивирус вообще работает? Базы обновлены? NOD32 должен детектировать этот вирус как Win32/Sality.NAU
Сообщение от
Log
c:\docume~1\user\locals~1\temp\winsxjs.exe >>>>> Trojan-Downloader.Win32.Small.agoy успешно удален
Sality хозяйничает как хочет, модули из Интернета подкачивает.
-
-
Junior Member
- Вес репутации
- 55
антивирус не работает, я его только удалил!
-
Junior Member
- Вес репутации
- 55
Сделал проверку Dr.Web CureIT!
Нашел 238 вирусов, вылечил, некоторые удалил!
Что далее...
Приложение по проверке CureIT:
-
Junior Member
- Вес репутации
- 55
- карантин отправил!
Логи после проверки CureIT:
-
В логах вируса не видно. Установите антивирус, пока снова не занесли вирус через сеть или флешку.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 55
Безопасный режим по прежнему не запускается!
Выдает ошибку, но не понятно какую. При загрузке вылетает синий экран, мельком, бук перезагружается!
Это последствия вируса?
Подскажите что делать!?
-
В AVZ меню Файл Восстановление системы - в строчке
10. Восстановление загрузки в Safe Mode
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер в Безопасном режиме.
Если не загрузиться, прикрепите к теме в zip-архиве пару свежих файлов из папки C:\WINDOWS\Minidump
-
-
Junior Member
- Вес репутации
- 55
Благодарю за проделанную работу.
Выражаю Вам свое уважение! Отличная работа!
Счастливо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\system\folder\amdsys.exe - Virus.Win32.Sality.aa ( DrWEB: Dialer.Siggen.121, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )
- c:\windows\system32\a89d45\e1aa6e.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Trojan.Dropper.Agent.UIK, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )
- c:\windows\system32\kernel~1\csrss.exe - Trojan.Win32.Agent2.tc ( DrWEB: Win32.HLLW.Autoruner.6258, BitDefender: Trojan.Generic.1444049, NOD32: Win32/Agent.NFN worm, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\55267d\n2-50875.exe - not-a-virus:AdWare.Win32.FlyStudio.l ( DrWEB: Trojan.Siggen.3067, BitDefender: Trojan.Downloader.JMJQ, AVAST4: Win32:Malware-gen )
-