Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

вирус не лечится (заявка № 29041)

  1. #1
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34

    Exclamation вирус не лечится

    Похоже проник в систему вирус, отображает сообщения об adaware и просит скачать обновление для windows. Стал недоступен пункт "Панель управления" в меню "Пуск", при попвтке зайти в некоторые системные каталоги говорит что функции ограничены и просит сообщить администратору.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Нарушения правил при сборе информации для раздела Помогите.


    - Не выключено системное восстановление.
    - Не выключен установленный антивирус.


    Логи выполненные с нарушением правил рассматриваться не будут.
    Повторите 3 лога в соответствии с правилами.
    Спасибо за понимание.


    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт 1
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('srservice', 4);
     QuarantineFile('C:\WINDOWS\shell.exe','');
     QuarantineFile('C:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\findfast.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
     QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
     QuarantineFile('Explorer.exe C:\WINDOWS\shell.exe','');
     DelBHO('{28A73C97-A538-08EE-FA8A-1CF3009DB0D0}');
     QuarantineFile('C:\Program Files\altcmd\altcmd32.dll','');
     DelBHO('{2940074F-729F-4DF6-B300-96048173ED39}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CT id=e codeBase=http://www.www2.p0rt2.com/files/epl60bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427}');
     QuarantineFile('C:\WINDOWS\system32\printer.exe','');
     DeleteFile('C:\WINDOWS\system32\printer.exe');
     DeleteFile('C:\Program Files\MyExpressSearch\My Express Search Toolbar\my_express_search.dll');
     DeleteFile('C:\Program Files\altcmd\altcmd32.dll');
     DeleteFile('Explorer.exe C:\WINDOWS\shell.exe');
     DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\findfast.exe');
     DeleteFile('C:\WINDOWS\shell.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Выполните скрипт 2
    Код:
    begin
    executerepair(1);
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 27.08.2008 в 15:26.

  4. #3
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34

    не могу отключить восстановление системы

    Не отключается восстановление системы! При любой попытке говорит что у меня нет прав на изменение, к тому-же исчез пункт меню пуск - ПАНЕЛЬ УПРАВЛЕНИЯ

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Я добавил в скрипт остановку службы восстановления. Выполняйте скрипт, делайте логи - будем смотреть.

  6. #5
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34

    Наверное помогло

    Высылаю логи
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myexpresssearch.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.besttoolbars.net/
    O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
     DeleteFile('C:\WINDOWS\system32\wowfx.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи начиная от п.10 правил.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34
    Еще логи
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Удалите Аd-Aware, откройте редактор реестра, пройдите в папку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders, ключ SecurityProviders в правой панели 2 раза щелкнуть.
    Содержимое д.б.
    Код:
    msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
    Закройте редактор реестра.
    Перегрузитесь, повторите лого от п.10 правил.

  10. #9
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34

    снова здорово

    Все опять вернулось на свое место! Опять сообщения в трее об adaware и необходимости сходить на сайт за обновлением антивируса, это после того как я выполнил последние ваши рекомендации, а до этого вроде все иправлялось. Что-же делать. Снова повторить ваши скрипты?
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от germantk Посмотреть сообщение
    Все опять вернулось на свое место!
    А я Вас просил, удалить Ad-Aware. Удалите, выполните пункт 2 правил.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
    O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
    O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
    O4 - Startup: findfast.exe
    O4 - Global Startup: autorun.exe
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\shell.exe','');  
     QuarantineFile('C:\WINDOWS\Installer\{BE16CD3F-FE02-42CD-8F0B-00FB1214AA89}\_26F9B95512BF_4EB0_A5A7_4E9C21DEF37B.exe','');
     QuarantineFile('C:\WINDOWS\system32\printer.exe','');
     QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
     QuarantineFile('C:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\findfast.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\findfast.exe');
     DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
     DeleteFile('c:\windows\shell.exe');
     DeleteFile('C:\WINDOWS\system32\printer.exe'); 
     DeleteFile('C:\WINDOWS\Installer\{BE16CD3F-FE02-42CD-8F0B-00FB1214AA89}\_26F9B95512BF_4EB0_A5A7_4E9C21DEF37B.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34

    очередные логи

    Панели управления снова нет на месте
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{6226BA26-C017-4007-928C-DE9715C6FA67}');
     DeleteService('CSRBC01');
     QuarantineFile('C:\WINDOWS\system32\Drivers\csrbc01.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\csrbc01.sys');
     DeleteFile('wowfx.dll');
     DeleteFile('C:\Program Files\MyExpressSearch\My Express Search Toolbar\my_express_search.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    executerepair(5);
    executerepair(6);
    executerepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пишлите карантин согласно приложения 3 правил ...
    повторите логи ...

  14. #13
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34
    Новые логи
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах ничего плохого ...

  16. #15
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34

    УРА

    УРААА! Все заразы больше нет. огромное спасибо

  17. #16
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34

    восстала из пепла

    Снова эта зараза появилась. У меня 2 учетных записи, жена вошла под другой записью и снова проявился этот вирус. Присылаю логи и картинки якобы системных сообщений
    Изображения Изображения
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
    O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
    O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
    O4 - Startup: findfast.exe
    O4 - Global Startup: autorun.exe
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\printer.exe','');
     QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
     QuarantineFile('C:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\findfast.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
     QuarantineFile('c:\windows\shell.exe','');
     DeleteFile('c:\windows\shell.exe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\findfast.exe');
     DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
     DeleteFile('C:\WINDOWS\system32\printer.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину. Повторите операцию для всех учеток.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  19. #18
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34

    все по старому

    Ощущение де жа вю. Вроде бы вирусы исчезают, но через несколько перезагрузок снова появляются
    Посылаю логи. Не удаляются и не копируются некоторые файлы в папке C:/windows/temp
    Perflib_Perfdata_4ac.dat
    Perflib_Perfdata_784.dat
    И каталог _avast4_
    При попытке удалить эти файлы из под любой учетной записи собщает что они заняты другой программы. Если пытаюсь удалить не из Windows, файлы отсутствуют.
    Также браузер Opera не отображает страницы, сообщение что нет подключения к интернет.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\findfast.exe');
     DeleteFile(' %Systemroot%\system32\WinAvXX.exe');
     DeleteFile('C:\WINDOWS\system32\printer.exe');
     DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
     DeleteFile('C:\WINDOWS\system32\umonit.exe');
     DeleteFile('C:\WINDOWS\shell.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  21. #20
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    12
    Вес репутации
    34
    Логи
    Вложения Вложения

  • Уважаемый(ая) germantk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирус который ни чем не лечится!
      От sanya33 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.09.2011, 21:08
    2. Помогите...не лечится вирус
      От sector в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 28.07.2010, 09:05
    3. вирус не удаляется, не лечится. (заявка №14642)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 07.04.2010, 14:00
    4. Вирус не лечится
      От Sancho в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.04.2009, 15:42
    5. Ответов: 6
      Последнее сообщение: 22.02.2009, 08:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01329 seconds with 17 queries