Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

medichi и не только :( (заявка № 16055)

  1. #1
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60

    Thumbs up medichi и не только :(

    Здравствуйте! Счастливого всем Рождества!
    Проблемы таковы:

    Нарушение ассоциации EXE файлов
    Нарушение ассоциации SCR файлов
    Блокировка редактора реестра
    Блокировка диспетчера задач
    Блокировка панели управления
    Заблокированы настройки системы Windows Update

    CD/DVD диски не отпределяются

    При перезагрузке в С:\WINDOWS\ - постоянно появляются
    medichi.exe
    medichi2.exe
    murka.dat

    Установлен NOD32. Сканер отрабатывает, но все не лечит.
    Центр управления - не запускается.

    CureIt - скачала. Экспресс проверка удалила 3 вируса.
    В безопасном режиме запустить не смогла. Т.к. eхе-файлы не запускаются, я их запускаю через меню ПКМ "Запуск от имени".
    В безопасном режиме так не получилось.
    На CD скопировать тоже не могу.

    AVZ и HijackThis - cкачала. Запускаются только переименованные.

    Восстановление системы отключить не удалось.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Пофиксите:
    Код:
    O4 - HKLM\..\Run: [syscache] C:\Program Files\Windows NT\NTmon.exe
    O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
    O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\system32\newmaxxsv234.exe
    	O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
    	O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
    	O4 - HKLM\..\Run: [Medichi] medichi.exe
    	O4 - HKLM\..\Run: [Medichi2] medichi2.exe
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
    	O4 - HKCU\..\Run: [kernel] C:\Program Files\kernel\kernel.exe
     	O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    	O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs: murka.dat
    	O23 - Service: ZZZsvc_lich - Unknown owner - C:\lich.exe (file missing)
    2. Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Cof49.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
     QuarantineFile('C:\WINDOWS\murka.dat','');
     DeleteFile('C:\WINDOWS\murka.dat');
    DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
    DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
    DeleteFile('C:\WINDOWS\mrofinu27.exe');
    DeleteFile('C:\WINDOWS\taskmon.exe');
    DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
    DeleteFile('C:\lich.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    3. После перезагрузки попробуйте в безопасном режиме http://virusinfo.info/showthread.php?t=10387

  4. #3
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60
    Выполнила все 3 пункта.
    С нетерпением жду дальнейших инструкций.
    Спасибо за указания.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\murka.dat','');
     QuarantineFile('C:\WINDOWS\medichi2.exe','');
     QuarantineFile('C:\WINDOWS\medichi.exe','');
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Cof49.sys','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\medichi.exe');
     DeleteFile('C:\WINDOWS\medichi2.exe');
     DeleteFile('C:\WINDOWS\murka.dat');
     DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
     DeleteFile('C:\WINDOWS\system32\taskmon.sys');
     BC_ImportAll;
     BC_QrFile('C:\WINDOWS\system32\lrito59d-605c.sys');
     BC_DeleteFile('C:\WINDOWS\medichi.exe');
     BC_DeleteFile('C:\WINDOWS\medichi2.exe');
     BC_DeleteFile('C:\WINDOWS\murka.dat');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
     BC_DeleteSvc('Cof49');
     BC_DeleteFile('C:\WINDOWS\system32\taskmon.sys');
     BC_DeleteSvc('taskmon');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Карантин пришлите

  6. #5
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60
    Пробовала 3 раза запустить скрипт.
    Сначала все идет хорошо.
    Успеваю заметить красненькую строчку:"Код перехватчика нейтрализован".
    И тут- экран гаснет - и все зависает.
    Перезагружаюсь кнопкой...
    Лог сохранить не успеваю.

    Но карантин отправила согласно Приложению 3 в Правилах. Хотя не уверена, что правильно Вас поняла...
    Последний раз редактировалось Мiшелька; 07.01.2008 в 10:59.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    сделайте новые логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60
    В AVZ - Стандартный "Скрипт лечения/карантина и сбора информации..." тоже дает - черный экран и зависание
    Лог сделать не получилось.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    c:\windows\medichi.exe - not-virus:Hoax.Win32.Renos.aom
    c:\windows\medichi2.exe Trojan.Win32.Agent.dqz
    C:\WINDOWS\murka.dat Backdoor.Win32.Small.cbo
    C:\WINDOWS\System32\Drivers\Beep.SYS Rootkit.Win32.Agent.sv
    C:\WINDOWS\system32\Drivers\Cof49.sys Rootkit.Win32.Agent.sc
    отключите антивирус ...
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [Medichi] medichi.exe
    O4 - HKLM\..\Run: [Medichi2] medichi2.exe
    O20 - AppInit_DLLs: murka.dat
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll
    выполните скрипт....
    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Cof49.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\WINDOWS\murka.dat');
     DeleteFile('C:\WINDOWS\medichi.exe');
     DeleteFile('C:\WINDOWS\medichi2.exe');
     BC_DeleteSvc('Beep');
     BC_DeleteSvc('Cof49');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи...

  10. #9
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60
    Ваш скрипт сначала тоже прервался черным экраном.
    Но я его запустила в безопасном режиме.
    И УРА!!! Он отработал.
    И после него и другие скрипты стали запускаться уже не в безопасном...
    И хотя вирусы не побеждены - настроение поднялось.
    Спасибо!!!
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пофиксите ....
    Код:
    O4 - HKLM\..\Run: [Medichi] medichi.exe
    O4 - HKLM\..\Run: [Medichi2] medichi2.exe
    O20 - AppInit_DLLs: murka.dat
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll (file missing)
    пришлите карантин согласно приложения 3 правил .

  12. #11
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60
    Скрипт выполнила.
    Все само перезагрузилось.
    Пофиксила.
    Карантин отправила. Только он какой-то подозрительно пустой.

    Перезагрузилась еще раз.
    В C:\WINDOWS этих медичей больше нет. Просто не верю глазам своим.

    А вот это как мне грамотно все назад вернуть?

    "Нарушение ассоциации EXE файлов
    Нарушение ассоциации SCR файлов
    Блокировка редактора реестра
    Блокировка диспетчера задач
    Блокировка панели управления
    Заблокированы настройки системы Windows Update

    CD/DVD диски не отпределяются"
    Последний раз редактировалось Мiшелька; 07.01.2008 в 15:55.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\lrito59d-605c.sys','');
    BC_ImportQuarantineList;
    BC_DeleteSvc('taskmon.sys');
    BC_DeleteSvc('TSP');
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    Если карантин будет не пустой - пришлите.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60
    Выполнила.
    Карантин пустой.
    Медичей в C:\WINDOWS нет.
    Но при выполнении скрипта были 4 строчки красненьким.
    "Ошибка...
    Потом что-то про карантин
    Ошибка...
    И опять про карантин"
    Но не успела прочесть. Окошко другое закрывало.
    И перезагрузилось все очень быстро.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Сделайте лог virusinfo_syscheck для контроля

  16. #15
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60
    Ура!
    Медичей нет!
    Диспетчер задач разблокировался!
    Nоd32, правда, выдает:
    "Ошибка при сканировании MBR сектора физического диска 1. Ошибка чтения сектора"
    Это плохо?
    Логи прилагаю.
    Всем огромное спасибище!!!
    Только как же эти ассоциации к EXE файлам вернуть?
    Осталось:
    "Нарушение ассоциации EXE файлов
    Нарушение ассоциации SCR файлов"


    regedit - тоже не запускается...
    И CD/DVD диски по-прежнему не видятся.
    Но это уже все мелочи по сравнению с тем, что было.
    Хотя я пока не знаю, как их поправить...
    Советам буду рада.
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(13);
    ExecuteRepair(16);
    ExecuteRepair(17);
    BC_DeleteSvc('lrito59d-605c');
    BC_Activate;
    RebootWindows(true);
    end.
    avz-мастер поиска и устранения проблем - выбираете проблемы - устранить ...

  18. #17
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60
    Все выполнила.
    Ура-а-а-а-а-!
    Никогда не думала, что можно столько радости получить просто потому, что:
    тык мышкой по значку - запускается!
    Мастер поиска и устранения проблем не нашел проблем!
    Спасибо всему сервису VirusInfo - просто за то, что вы есть, ребята!

  19. #18
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60
    Только сканер NOD32 нашел 31 вирус в файлах восстановления.
    Это чем грозит?
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Восстановление системы: включено / отключите ... и включите ... все зловреды законсервированные в восстановлении будут уничтожены ...

  21. #20
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    59
    Вес репутации
    60
    Спасибо! Теперь все ОК.

  • Уважаемый(ая) Мiшелька, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 12.07.2012, 06:22
    2. Вирус Medichi, Medichi2 странный
      От addictive в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 03:33
    3. вирус medichi
      От Mihas в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:18
    4. medichi, medichi2 и wowfx не могу убрать...
      От ViVeda в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:11
    5. Вирус "Sanitar Diska" или "Medichi"
      От Rubzel в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 31.12.2007, 08:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01622 seconds with 20 queries