-
Junior Member
- Вес репутации
- 52
Троян блокирует рабочий стол, диспетчер задач
Доброго времени суток.
Только-только избавился от трояна Internet Sevcurity (эта тема), как словил еще одну заразу. Хоть и советовали переустановить систему, но не успел я этого сделать, каюсь.
Антивирус выругался на троян, затем куча ошибок и я перезагрузил систему. После чего не открывается даже рабочий стол, не грузится диспетчер задач. Просканировал систему с помощью Live CD СureIT, нашлись три инфицированных файла, удаление их ни к чему не привело. С LiveCD запустил AVZ(к сожалению, базы обновить не удалось - не смог настроить интернет) Вроде нашлись подозрительные файлы, но где в LiveCD сохраняется лог, я так и не понял. Подскажите, где его достать, тогда я смогу выслать. С флэшки все через тот же LiveCD запустил уже обновленную AVZ, выполнил стандартные 2 и 3 скрипты, высылаю уже эти логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи практически бесполезны, но профиксить вот это можно и нужно.
Код:
F2 - REG:system.ini: Shell=%SystemRoot%\system32\user32.exe
O4 - HKLM\..\Run: [WindowsMediaPlugin] system32\WindowsMediaPlugin.exe
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\md.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\md.exe','');
QuarantineFile('D:\autorun.inf','');
DeleteFile('D:\autorun.inf ');
QuarantineFile('D:\autorun.inf ','');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\md.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\md.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\md.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\md.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если полегчает делать логи в нормальном режиме загрузки системы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Немного не понял насчет этого:
Код:
F2 - REG:system.ini: Shell=%SystemRoot%\system32\user32.exe
O4 - HKLM\..\Run: [WindowsMediaPlugin] system32\WindowsMediaPlugin.exe
Что с этим делать?)
Скрипт выполнил, опять же, через Live CD - не помогло. Открывается картинка рабочего стола и всё. Ни ярлыков, ни чего-либо еще.
-
Эти строчки надо в Хиджаке профиксить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Ага, разобрался, пофиксил. В систему войти смог. Антивирус не загружается, диспетчер задач по-прежнему заблокирован. Сделал логи:
-
Нормально, процесс выздоровления пошел.
AVZ: выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\user32.exe','');
DeleteFile('C:\WINDOWS\system32\user32.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
Сделать логи заново после перезагрузки.
Прислать карантин через красную ссылку (Приложение 3 Правил)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Отправил карантин. Новые логи:
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\user32.exe - Net-Worm.Win32.Koobface.dkq ( DrWEB: Trojan.Winlock.179, BitDefender: Gen:Heur.Krypt.eq0@bCm2oQli, AVAST4: Win32:Malware-gen )
- d:\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan )
- e:\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan )
-