-
"Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору"
Доброго здоровья!
Пока качаются по диалапу проверочные файлы, кратко:
отсутствует "панель управления", даже в проводнике при отмеченной на нём галке. При попытке отобразить свойства компьютера или рабочего стола возникает сообщение: "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору"
Сначала невозможно было даже пополнить лицевой счёт. В режиме защиты от сбоев из командной строки были удалены подозрительные файлы из автозагрузок, системной папки и system32. Интернет запускается, уже не как раньше - автоматом ;-) Сейчас остался только постоянно появляющийся файл в папке system32 sulimo.dat размером 8364.
Докачалось. Логи следуют...
Вложил логи проверок.
Как я и предпологал, всё выковырял, кроме этого sulimo.dat, которыго, как сказал DrWeb, удалил, а он снова есть в system32, опознанный как trojan.Packed.140
Жду ответа!
Спасибо!
ПС: тачка не моя, знакомого.
Последний раз редактировалось serjga; 22.06.2009 в 15:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('atiptaxx.ex','');
QuarantineFile('C:\Program Files\Seekmo\bin\10.0.341.0\SeekmoSA.ex','');
QuarantineFile('C:\Program Files\Seekmo\bin\10.0.341.0\OEAddOn.ex','');
QuarantineFile('Explorer.exe C:\WINDOWS\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
BC_DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile('Explorer.exe C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\Program Files\Seekmo\bin\10.0.341.0\OEAddOn.ex');
DeleteFile('C:\Program Files\Seekmo\bin\10.0.341.0\SeekmoSA.ex');
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteSysClean;
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13208
-
-
Дополнительно в AVZ: восст. системы, отметить №13, нажать "Выполнить".
После этого обновить антивирус.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Доброго здоровья!
Господа! Карантин-то ПУСТОЙ! Не верите? А я же писал в начале самом, что снёс вирусы из командной строки все, КРОМЕ того в папке system32 sulimo.dat, а 'atiptaxx.ex' - просто ссылка в реестре, переименованная мной; папка 'C:\Program Files\Seekmo\bin\10.0.341.0' тоже пустая. Файлы эти, кроме драйвера Ati, бережно мной упакованы с паролем. ПРислать вам их или сказать вирусы, которыми они заражены по результатам проверки DrWEB?
-
Так какие неприятности остались?
Имена вирусов скажи, так для статистики.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Неприятности? ТАЧКА ТОРМОЗИТ !!! 256 оперативки ))))))))
А так пока не вижу на первый взгляд
Имена:
D:\Distributive\_suriv\printer.exe инфицирован Win32.HLLW.Winav - удален
D:\Distributive\_suriv\winavxx.exe инфицирован Win32.HLLW.Winav - удален
D:\Distributive\_suriv\sulimo.dat инфицирован Trojan.Packed.140 - удален
D:\Distributive\_suriv\autoload\autorun.exe инфицирован Win32.HLLW.Winav - удален
D:\Distributive\_suriv\autoload\user\system.exe инфицирован Win32.HLLW.Winav - удален
D:\Distributive\_suriv\autoload\adm\system.exe инфицирован Win32.HLLW.Winav - удален
D:\Distributive\_suriv\win\xlavra2.exe инфицирован Trojan.Click.4704 - удален
D:\Distributive\_suriv\win\xlavra.exe инфицирован Trojan.Click.4704 - удален
D:\Distributive\_suriv\win\mraerea.exe инфицирован Trojan.Click.4704 - удален
D:\Distributive\_suriv\win\s32\printer.ex_ инфицирован Win32.HLLW.Winav - удален
D:\Distributive\_suriv\win\s32\winavxx.ex_ инфицирован Win32.HLLW.Winav - удален
D:\Distributive\_suriv\win\s32\sulimo.da_ инфицирован Trojan.Packed.140 - удален
D:\Distributive\_suriv\win\s32\sulimo.dat инфицирован Trojan.Packed.140 - удален
СПАСИБО ВСЕМ!
-
Осталось пара вопросов, если не возражаешь.
D:\Distributive\_suriv\win\s32 - что это за папка? Сам создавал для копии системы?
Такие же вопросы и про остальные.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Папки - зеркала тех, где в оригинальных системных находил подозрительные файлы с недавним временем создания и (или) с обращениями к ним в реестре в строке запуска.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-