-
Junior Member
- Вес репутации
- 59
Вирусы блокируют лечение по правилам...
В safe mode также, как и в обычном заблокирован запуск всех программ. Диспетчер отключен, реестр заблокирован, ничего не могу запустить, чтобы выполнить лечение в соответствии с правилами. Восстановление разумеется тоже не могу отключить.
Загрузился с реаниматора. Прогнал curit и avz нашел около 36 троянов, которые были вроде удалены. Перезагрузился в safe mode - ничего не изменилось. CD тоже заблокирован - только флэшку видит.
Что попробовать сделать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
откройте ключ HKEY_CLASSES_ROOT\exefile\shell\open\command\ больной системы
значение должно быть ... "%1" %* после этого попробуйте запустить авз ...
-
-
Junior Member
- Вес репутации
- 59
там этот ключ и так стоит...
Добавлено через 20 минут
А можно ли отключить функцию автовосстановления, не входя в винды, если жесткий диск доступен из под другой системы?
Последний раз редактировалось ab777; 21.06.2008 в 19:44.
Причина: Добавлено
-
Сообщение от
ab777
там этот ключ и так стоит...
вы смотрели реестр больной оси или диска ... ?
-
-
Junior Member
- Вес репутации
- 59
-
-
-
Junior Member
- Вес репутации
- 59
простой explorer запускается... ie не пробовал, но макстон не запускается
-
pingpong.pif - переименованный AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
Скачайте, попробуйте запустить, если не получится, переименуйте его в WinRar.exe и снова попробуйте запустить.
-
-
Junior Member
- Вес репутации
- 59
exe шники в принципе не запускаются никакие. сейчас попробую с пингпонгом...
Добавлено через 10 минут
Please enter the following code when downloading. Only enter symbols attached to a cat.
This is for security reasons. Premium users can jump this step.
Не понимаю, какие я должен симвылы выбрать, чтобы скачать... :-)))
Хрень какая-то с буквами пририсована, не пойму.
А можно с нормального хостинга скачать какого-нибудь, без извращенных кодов?
Последний раз редактировалось ab777; 21.06.2008 в 22:01.
Причина: Добавлено
-
Там не сложно. Вы должны ввести четыре символа с кошкой. Их всего четыре, остальные символы с существом похожим на кошку, но не с кошкой Попробуйте.
-
-
Junior Member
- Вес репутации
- 59
Ну я смысл-то понял, только кошек не могу отличить :-)))
Сейчас еще попробую
Добавлено через 1 минуту
О, чудо! вроде угадал! :-))) Пойду попробую запустить.
Проверил ie не работает
Добавлено через 3 минуты
запустился авз - пойду скрипты запускать...
Добавлено через 10 минут
Я пингпонг с флэшки запустил, а куда будут логи писаться? На флэшку?
Добавлено через 3 минуты
Определил три перехватчика, которые не определил:
IRP_MJ_DEVICE_CONTROL
IRP_MJ_LOCK_CONTROL
IRP_MJ_PNP
Они судя по всему перехватывают управление и не дают ничего запустить. Вирусы пока не видит. Сканирование продолжается... Много файлов...
Добавлено через 32 минуты
Во время проверки отреагировал norton antivirus, кого-то поймал. (хотя в трее его не видно было)
По правилам его вроде отключить надо, а отключить-то я не могу...
Пусть проверяет дальше?
Последний раз редактировалось ab777; 21.06.2008 в 23:00.
Причина: Добавлено
-
естественно пусть проверяет ....
-
-
Сделайте хотя бы лог по пункту 10 правил.
-
-
Junior Member
- Вес репутации
- 59
Прицепил логи
Третий не прицепляю, так как программу запустить не могу - все заблокировано...
Последний раз редактировалось ab777; 24.06.2008 в 23:09.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Google Online Services', 4);
QuarantineFile('NvQTwk.exe','');
QuarantineFile('kdiql.exe','');
QuarantineFile('E:\WINDOWS\herjek.exe','');
QuarantineFile('E:\WINDOWS\pxgdslro.dll','');
QuarantineFile('E:\WINDOWS\winlogon.exe','');
QuarantineFile('E:\WINDOWS\System32\MAT2.scr','');
QuarantineFile('E:\WINDOWS\system32\drivers\MTictwl.sys','');
QuarantineFile('E:\Program Files\ie_updates3r.exe','');
QuarantineFile('E:\WINDOWS\system32\BiCMonNT.dll','');
QuarantineFile('E:\WINDOWS\system32\BiMMonNT.dll','');
QuarantineFile('E:\WINDOWS\gnowmebk.dll','');
DeleteFile('E:\WINDOWS\gnowmebk.dll');
DeleteFile('E:\Program Files\ie_updates3r.exe');
DeleteFile('E:\WINDOWS\winlogon.exe');
DeleteFile('E:\WINDOWS\pxgdslro.dll');
DeleteFile('E:\WINDOWS\herjek.exe');
DeleteFile('kdiql.exe');
DeleteService('Google Online Services');
BC_ImportALL;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Добавлено через 46 секунд
Повторите логи.
Последний раз редактировалось akoK; 22.06.2008 в 00:06.
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
Повторные логи
Карантин пустой, поэтому нечего архивировать...
Последний раз редактировалось ab777; 24.06.2008 в 23:09.
-
Junior Member
- Вес репутации
- 59
-
Лог HijackThis делался до логов AVZ?
1.Пофиксить в HijackThis следующие строчки, если такие будут ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: Shell=Explorer.exe "E:\WINDOWS\system32\hwqz472.exe"
O2 - BHO: WRL Advisor - {5AB14FEE-E161-455B-9A60-91AE848F8FA0} - E:\WINDOWS\nldfmtapefs.dll
O2 - BHO: E:\WINDOWS\System32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - E:\WINDOWS\System32\hdxjd4g.dll
O2 - BHO: E:\WINDOWS\System32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - E:\WINDOWS\System32\djki397g.dll
O4 - HKLM\..\Run: [runwinlogon] E:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Hhjg5jfd93dftdf] E:\WINDOWS\TEMP\winlagon.exe
O4 - HKLM\..\Run: [System] E:\WINDOWS\System32\wind32.exe
O4 - HKLM\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] E:\Documents and Settings\ASTA-2000\cftmon.exe
O4 - HKCU\..\Run: [Hhjg5jfd93dftdf] E:\WINDOWS\TEMP\winlagon.exe
O4 - HKCU\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [HJdfke9kfdf] E:\DOCUME~1\ASTA-2~1\LOCALS~1\Temp\csrssc.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB0D2E74-25FC-44CC-BEBA-004984AE2C0D}: NameServer = 85.255.112.179
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.179
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.179
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.179
O21 - SSODL: gnowmebk - {928C6125-0366-4632-A4C6-8E029DF8DFE0} - E:\WINDOWS\gnowmebk.dll
O21 - SSODL: pxgdslro - {AFBFDE89-74D2-449B-8A35-D8B4B29ADF2D} - E:\WINDOWS\pxgdslro.dll (file missing)
После чего повторите лог HijackThis
2.
Platform: Windows XP SP2, v.1204 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1157)
Очень рекомендуется обновить систему до SP3
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось ab777; 24.06.2008 в 23:09.
-
Портал интересует Ваше мнение о помощи в разделе "Помогите"
Вы можете его высказать в теме Скажи, что ты думаешь о Virusinfo
Сообщение от
anton_dr
И, пока Вы ещё здесь, нам важно ваше мнение.
Всё ли Вам было понятно?
Устраивает ли Вас форма, в которой проходило лечение?
Нашли ли Вы полезные материалы у нас?
Чего, по Вашему мнению, нам не хватает?
The worst foe lies within the self...
-