Пропал интерфейс рабочего стола.

[12primitive]

Здравствуйте.

Пропал интерфейс рабочего стола. Осталась только мышь. Диспетчер задач не запускается.
Из безопасного режима просканировал CureIt, что-то он вылечил, но ничего не изменилось.

Помогите, пожалуйста.

[Info_bot]

Уважаемый(ая) 12primitive, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39

обновите базы AVZ

- - - Updated - - -

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\apppatch\aljwli.exe','');
DeleteFile('F:\WINDOWS\apppatch\aljwli.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

по возможности сделайте логи из обычного режима.

[12primitive]

Логи из обычного режима.
При загрузке карантина сообщение, что файл уже был загружен.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\18.7.2.3\ASOEHOOK.DLL','');
 QuarantineFile('F:\WINDOWS\apppatch\aljwli.exe','');
 QuarantineFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe','');
 DeleteFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe');
 DeleteFile('F:\WINDOWS\apppatch\aljwli.exe');
 DeleteFile('\zSOJS.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','yyxYS');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','yyxYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)


+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

[12primitive]

Сделал.

120620_130107_quarantine_4fe1c9934cc3b.zip - Карантин

Архив с файлами:
Файл сохранён как 120620_125931_virusinfo_files_ALEXANDR_4fe1c933a66 b1.zip
Размер файла 11641811
MD5 ffe44762847dfac2ef69304bf9bad556

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe','');
 DeleteFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yyxYS');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ.

+

Внимание, в архиве обнаружены опасные или вредоносные объекты:
F:\\Documents and Settings\\Admin\\Application Data\\zSOJS.exe: Trojan-Spy.Win32.SpyEyes.afqn

меняйте все важные пароли.

[12primitive]

Сделал.

Карантин
120621_063043_quarantine_4fe2bf9380721.zip

[regist]

Здравствуйте!

Обновите базы AVZ ещё раз.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Профиксите в HijackThis

Код:

O4 - HKCU\..\Run: [yyxYS] F:\Documents and Settings\Admin\Application Data\zSOJS.exe

если прокси прописывали не сами, то также профиксить

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe','');
 QuarantineFile('F:\Program Files\Volumecontrol2\LConfig.exe','');
 QuarantineFile('F:\WINDOWS\Temp\mor.exe','');
 QuarantineFile('F:\RECYCLE.BIN\1FBB618F5B23B00e','');
 QuarantineFile('F:\RECYCLE.BIN\B6232F~1.EXE','');
 DeleteFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe');
 DeleteFile('F:\WINDOWS\Temp\mor.exe');
 DeleteFile('F:\RECYCLE.BIN\1FBB618F5B23B00');
 DeleteFile('F:\RECYCLE.BIN\B6232F~1.EXE');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yyxYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)


Удалите в MBAM (если будут)

Код:

F:\WINDOWS\Temp\mor.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
F:\RECYCLE.BIN\1FBB618F5B23B00 (Trojan.Spyeyes) -> Действие не было предпринято.
F:\RECYCLE.BIN\B6232F~1.EXE (Trojan.Spyeyes) -> Действие не было предпринято.

[12primitive]

120621_083508_quarantine_4fe2dcbc3656e.zip

[regist]

Здравствуйте! отключение антивируса, вы каждый раз упорно игнорируете

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\WINDOWS\Temp\mor.exe','');
 QuarantineFile('F:\Recycle.Bin\B6232F3AE2A.exe','');
 DeleteFile('F:\Recycle.Bin\B6232F3AE2A.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-----------------------------

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   Код:

   tdsskiller.exe -silent -qmbr -qboot

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И [U]загрузите по ссылке Прислать запрошенный карантин вверху темы.
6. Запустите файл TDSSKiller.exe;
7. Нажмите кнопку "Начать проверку";
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

----------------
+ сделайте ещё раз лог полного сканирования MBAM, а заодно отпишитесь, что там с проблемой 7 что-нибудь изменилось ?

не забудьте по окончанию лечения ещё раз сменить пароли.

[12primitive]

120621_093002_quarantine_4fe2e99a59bad.zip
120621_093158_TDSSKiller_Quarantine_4fe2ea0eead66. zip

Я про антивирус на этом компьютере только сейчас узнал. Он и не обновлялся давно.
Здесь не было архиватора и, по-моему, при его установке я схватил Mayachok.

- - - Updated - - -

Ах, да, забыл. Симптомы больше не проявляются.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('F:\Documents and Settings\Admin\Application Data\taskhost.exe');
 QuarantineFileF('F:\Documents and Settings\Admin\Application Data','*.exe', false,'',0 ,0);
 QuarantineFile('F:\Documents and Settings\Admin\Application Data\taskhost.exe','');
 QuarantineFile('F:\Documents and Settings\Admin\Application Data\txt.exe','');
 QuarantineFile('F:\WINDOWS\Temp\9niry6b6.exe','');
 DeleteFile('F:\Documents and Settings\Admin\Application Data\taskhost.exe');
 DeleteFile('F:\Documents and Settings\Admin\Application Data\txt.exee');
 DeleteFile('F:\WINDOWS\Temp\9niry6b6.ex');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Удалите в MBAM всё кроме

Код:

F:\Program Files\Volumecontrol2\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

повторите лог сканирования MBAM.

[12primitive]

Файл сохранён как 120621_105114_quarantine_4fe2fca221d47.zip

После выполнения первого скрипта компьютер начал перезагружаться, но остановился на первоначальной ситуации: пустой стол и мышь. После насильного выключения все было в норме и не повторялось.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\WINDOWS\system32\pclfakm.dll','');
 QuarantineFileF('C:\Windows\system32','*.tmp', true,'',0 ,0);
 DeleteFile('F:\WINDOWS\system32\pclfakm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[12primitive]

Файл сохранён как 120621_111622_quarantine_4fe3028692d4b.zip

[regist]

ознакомьтесь: Рекомендации после лечения или 10 заповедей для здоровья компьютера

[12primitive]

То есть в основном все чисто?

Ознакомлюсь. Большое спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 7
• Обработано файлов: 40
• В ходе лечения обнаружены вредоносные программы:
  
  1. f:\\documents and settings\\admin\\application data\\zsojs.exe - Trojan-Spy.Win32.SpyEyes.afqn ( DrWEB: Trojan.PWS.SpySweep.143, BitDefender: Trojan.Generic.KDV.656348, AVAST4: Win32:Malware-gen )
  2. f:\\recycle.bin\\b6232f~1.exe - Trojan-Spy.Win32.SpyEyes.afqn ( DrWEB: Trojan.PWS.SpySweep.143, BitDefender: Trojan.Generic.KDV.656348, AVAST4: Win32:Malware-gen )
  3. f:\\windows\\system32\\pclfakm.dll - Trojan.Win32.Cidox.jma

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !