Junior Member
Вес репутации
59
вирус закрыл доступ к regedit, taskmgr
с флешки было запущено что то вроде my pictures.exe, после чего перестали работать regedit, takmgr (доступ закрыт администратором, хотя моя учётная запись на компе единственная и является админской). msconfig запускается. включить доступ к regedit, taskmgr через gpedit не вышло. пытался прогнать скрипты из этой темы - ничего не получилось. так же пытался запустить через "восстановление настроек системы" пункты 11 и 17 - после выполнения ничего не изменилось. через Hijackthis тоже ничего не получается.
ОС - ХР SP2
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
59
логи отдельным сообщением, в прошлый раз глюкнуло а редактировать не пускает
Вложения
пытался прогнать скрипты из этой темы
и на эту тему - Читайте правила
У нас запрещено выполнять скрипты написанные для других! Каждый случай уникален.Вы можете тем самым нанести не поправимый вред вашему компьютеру и нашему сервису.
За последствия, наступившие в случае невыполнения данного пункта, портал Virusinfo ответственности не несёт!
Пофиксить
Код:
F2 - REG:system.ini: Shell=Explorer.exe taskmger.com
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [userd] C:\WINDOWS\RECYCLER\systems.com
O4 - Startup: AutorunsDisabled
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\autorun.inf','');
QuarantineFile('H:\RECYCLER\systems.com','');
QuarantineFile('G:\RECYCLER\systems.com','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('F:\RECYCLER\systems.com','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\RECYCLER\systems.com','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('c:\windows\system32\taskmger.com','');
DeleteFile('c:\windows\system32\taskmger.com');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\RECYCLER\systems.com');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLER\systems.com');
DeleteFile('H:\RECYCLER\systems.com');
DeleteFile('H:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин после перезагрузки закачать по правилам и повторить логи.
Junior Member
Вес репутации
59
да тут не в правилах дело, просто я думал это один и тот же вирус
после прогона скрипта появилось следующее сообщение:
invalid data type for "
сообщения что скрипт выполнен успешно не было.
теперь при запуске винды появляется следующее:
Taskmger.com
windows не удалось найти 'taskmger.com'. Проверьте бла бла бла
и единственная кнопка ОК.
taskmgr и regedit так и не работают
Вложения
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: Shell=Explorer.exe taskmger.com
O4 - HKLM\..\Run: [userd] C:\WINDOWS\RECYCLER\systems.com
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\RECYCLER\systems.com');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
Повторите логи начиная с п.10 правил
Junior Member
Вес репутации
59
При попытке пофиксить два раза появилось сообщение
редактирование реестра запрещено администратором .
Прогон скрипта опять закончился сообщением invalid data type for "
копировал всё как есть
после перезагрузки сообщение о не найденном taskmger пропало.
Taskmgr и regedit так и не работают.
Вложения
Попробуйте пофиксить
Код:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Напишите получилось или нет.
Junior Member
Вес репутации
59
получилось. после перезагрузки стал работать regedit. taskmgr не работает.
Теперь выполните в АВЗ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
RebootWindows(true);
end.
Junior Member
Вес репутации
59
теперь скрипт прошёл успешно и всё работает. спасибо
больше ничего не нужно делать?
Подозрительного в логах больше ничего не видел.
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 15 В ходе лечения обнаружены вредоносные программы:
c:\\recycler\\systems.com - Worm.Win32.AutoRun.pk (DrWEB: Win32.HLLW.Autoruner.243) c:\\windows\\system32\\taskmger.com - Worm.Win32.AutoRun.pk (DrWEB: Win32.HLLW.Autoruner.243) f:\\recycler\\systems.com - Worm.Win32.AutoRun.pk (DrWEB: Win32.HLLW.Autoruner.243) g:\\recycler\\systems.com - Worm.Win32.AutoRun.pk (DrWEB: Win32.HLLW.Autoruner.243) h:\\recycler\\systems.com - Worm.Win32.AutoRun.pk (DrWEB: Win32.HLLW.Autoruner.243)