Здравствуйте.
Пропал интерфейс рабочего стола. Осталась только мышь. Диспетчер задач не запускается.
Из безопасного режима просканировал CureIt, что-то он вылечил, но ничего не изменилось.
Помогите, пожалуйста.
Здравствуйте.
Пропал интерфейс рабочего стола. Осталась только мышь. Диспетчер задач не запускается.
Из безопасного режима просканировал CureIt, что-то он вылечил, но ничего не изменилось.
Помогите, пожалуйста.
Уважаемый(ая) 12primitive, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
обновите базы AVZВнимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
- - - Updated - - -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\WINDOWS\apppatch\aljwli.exe',''); DeleteFile('F:\WINDOWS\apppatch\aljwli.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Run'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
по возможности сделайте логи из обычного режима.
Логи из обычного режима.
При загрузке карантина сообщение, что файл уже был загружен.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\18.7.2.3\ASOEHOOK.DLL',''); QuarantineFile('F:\WINDOWS\apppatch\aljwli.exe',''); QuarantineFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe',''); DeleteFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe'); DeleteFile('F:\WINDOWS\apppatch\aljwli.exe'); DeleteFile('\zSOJS.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','yyxYS'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','yyxYS'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
Сделал.
120620_130107_quarantine_4fe1c9934cc3b.zip - Карантин
Архив с файлами:
Файл сохранён как 120620_125931_virusinfo_files_ALEXANDR_4fe1c933a66 b1.zip
Размер файла 11641811
MD5 ffe44762847dfac2ef69304bf9bad556
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe',''); DeleteFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yyxYS'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог полного сканирования МВАМ.
+меняйте все важные пароли.Внимание, в архиве обнаружены опасные или вредоносные объекты:
F:\\Documents and Settings\\Admin\\Application Data\\zSOJS.exe: Trojan-Spy.Win32.SpyEyes.afqn
Сделал.
Карантин
120621_063043_quarantine_4fe2bf9380721.zip
Здравствуйте!
Обновите базы AVZ ещё раз.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Профиксите в HijackThis
если прокси прописывали не сами, то также профикситьКод:O4 - HKCU\..\Run: [yyxYS] F:\Documents and Settings\Admin\Application Data\zSOJS.exe
Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe',''); QuarantineFile('F:\Program Files\Volumecontrol2\LConfig.exe',''); QuarantineFile('F:\WINDOWS\Temp\mor.exe',''); QuarantineFile('F:\RECYCLE.BIN\1FBB618F5B23B00e',''); QuarantineFile('F:\RECYCLE.BIN\B6232F~1.EXE',''); DeleteFile('F:\Documents and Settings\Admin\Application Data\zSOJS.exe'); DeleteFile('F:\WINDOWS\Temp\mor.exe'); DeleteFile('F:\RECYCLE.BIN\1FBB618F5B23B00'); DeleteFile('F:\RECYCLE.BIN\B6232F~1.EXE'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yyxYS'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Удалите в MBAM (если будут)
Код:F:\WINDOWS\Temp\mor.exe (Trojan.Agent.Gen) -> Действие не было предпринято. F:\RECYCLE.BIN\1FBB618F5B23B00 (Trojan.Spyeyes) -> Действие не было предпринято. F:\RECYCLE.BIN\B6232F~1.EXE (Trojan.Spyeyes) -> Действие не было предпринято.
120621_083508_quarantine_4fe2dcbc3656e.zip
Здравствуйте! отключение антивируса, вы каждый раз упорно игнорируете
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\WINDOWS\Temp\mor.exe',''); QuarantineFile('F:\Recycle.Bin\B6232F3AE2A.exe',''); DeleteFile('F:\Recycle.Bin\B6232F3AE2A.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); ExecuteWizard('SCU',2,3,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-----------------------------
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
- Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
- Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
Код:tdsskiller.exe -silent -qmbr -qboot- Запустите файл fix.bat;
- Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
- Заархивруйте эту папку с паролем virus. И [U]загрузите по ссылке Прислать запрошенный карантин вверху темы.
- Запустите файл TDSSKiller.exe;
- Нажмите кнопку "Начать проверку";
- В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
- По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
- Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
- Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
- После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
- Прикрепите лог утилиты к своему следующему сообщению
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
----------------
+ сделайте ещё раз лог полного сканирования MBAM, а заодно отпишитесь, что там с проблемой 7 что-нибудь изменилось ?
не забудьте по окончанию лечения ещё раз сменить пароли.
120621_093002_quarantine_4fe2e99a59bad.zip
120621_093158_TDSSKiller_Quarantine_4fe2ea0eead66. zip
Я про антивирус на этом компьютере только сейчас узнал. Он и не обновлялся давно.
Здесь не было архиватора и, по-моему, при его установке я схватил Mayachok.
- - - Updated - - -
Ах, да, забыл. Симптомы больше не проявляются.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('F:\Documents and Settings\Admin\Application Data\taskhost.exe'); QuarantineFileF('F:\Documents and Settings\Admin\Application Data','*.exe', false,'',0 ,0); QuarantineFile('F:\Documents and Settings\Admin\Application Data\taskhost.exe',''); QuarantineFile('F:\Documents and Settings\Admin\Application Data\txt.exe',''); QuarantineFile('F:\WINDOWS\Temp\9niry6b6.exe',''); DeleteFile('F:\Documents and Settings\Admin\Application Data\taskhost.exe'); DeleteFile('F:\Documents and Settings\Admin\Application Data\txt.exee'); DeleteFile('F:\WINDOWS\Temp\9niry6b6.ex'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); ExecuteWizard('SCU',2,3,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Удалите в MBAM всё кроме
Выполните скрипт в AVZ при наличии доступа в интернет:Код:F:\Program Files\Volumecontrol2\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end.
повторите лог сканирования MBAM.
Файл сохранён как 120621_105114_quarantine_4fe2fca221d47.zip
После выполнения первого скрипта компьютер начал перезагружаться, но остановился на первоначальной ситуации: пустой стол и мышь. После насильного выключения все было в норме и не повторялось.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\WINDOWS\system32\pclfakm.dll',''); QuarantineFileF('C:\Windows\system32','*.tmp', true,'',0 ,0); DeleteFile('F:\WINDOWS\system32\pclfakm.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Файл сохранён как 120621_111622_quarantine_4fe3028692d4b.zip
То есть в основном все чисто?
Ознакомлюсь. Большое спасибо за помощь!
Статистика проведенного лечения:
- Получено карантинов: 7
- Обработано файлов: 40
- В ходе лечения обнаружены вредоносные программы:
- f:\\documents and settings\\admin\\application data\\zsojs.exe - Trojan-Spy.Win32.SpyEyes.afqn ( DrWEB: Trojan.PWS.SpySweep.143, BitDefender: Trojan.Generic.KDV.656348, AVAST4: Win32:Malware-gen )
- f:\\recycle.bin\\b6232f~1.exe - Trojan-Spy.Win32.SpyEyes.afqn ( DrWEB: Trojan.PWS.SpySweep.143, BitDefender: Trojan.Generic.KDV.656348, AVAST4: Win32:Malware-gen )
- f:\\windows\\system32\\pclfakm.dll - Trojan.Win32.Cidox.jma
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) 12primitive, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.