-
Junior Member
- Вес репутации
- 58
Не загружается любая учетная запись
Здравствуйте!
На компьютере при загрузке появляется на весь экран рамка Windows XP Security Message и выдает 3 вируса Trojan.Win32.DNSChanger.ech, Trojan-Downloader.Win32.CWS.fc, AdWare.Win32.MyWebSearch.bm. Вновь установленный новый касперский и cuite ничего не нашли. После прохождения AVZ и удаления файлов теперь не грузится компьютер из под любой учетной записи, и вновь созданной. Сумел загрузиться только в безопасном режиме с командной строкой. При переносе жесткого диска на другую систему находится большое количество вирусов. После их удаления все равно таже ситуация и вирусы появляются вновь.
Последний раз редактировалось weberr; 14.01.2009 в 20:54.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уберите карантин из темы! (файл virusinfo_cure.zip)
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-2214429306-4024994690-2552189465-1004\Dc1.exe','');
QuarantineFile('C:\WINDOWS\mqgldfvo.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
DelBHO('{64DE95E5-0A25-4DD9-A472-97BC1D419101}');
DelBHO('{6F677543-2821-41CE-8542-7326BE63B708}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
QuarantineFile('C:\WINDOWS\TEMP\msfont32.dll','');
QuarantineFile('C:\Program Files\Smart Antivirus 2009\Smart Antivirus-2009.exe','');
QuarantineFile('C:\WINDOWS\dtseqrxk.dll','');
DeleteService('Network Driver Interface');
QuarantineFile('C:\WINDOWS\system32\iifdeEUK.dll','');
DeleteFile('C:\WINDOWS\system32\iifdeEUK.dll');
DeleteFile('C:\WINDOWS\dtseqrxk.dll');
DeleteFile('C:\Program Files\Smart Antivirus 2009\Smart Antivirus-2009.exe');
DeleteFile('C:\WINDOWS\TEMP\msfont32.dll');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\mqgldfvo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2214429306-4024994690-2552189465-1004\Dc1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30182
2. Есть установочный диск Виндовс?
Посмотрите, есть ли файл userini.exe в папке C:\WINDOWS\system32
Если есть - переименуйте его в userinit.exe
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 58
userinit уже скидывал с установочного диска - не помогло. сейчас логи сделаю
-
Junior Member
- Вес репутации
- 58
вот логи, cure из 1 поста не могу удалить
Последний раз редактировалось weberr; 14.01.2009 в 20:54.
-
Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\wuauclt.exe','');
QuarantineFile('iifdeEUK.dll','');
QuarantineFile('c:\t.exe','');
QuarantineFile('C:\WINDOWS\system32\~.exe','');
DeleteFile('c:\t.exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
DeleteFile('iifdeEUK.dll');
DeleteFile('C:\Program Files\Microsoft Common\wuauclt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 15.09.2008 в 11:38.
-
-
Junior Member
- Вес репутации
- 58
Спасибо за напоминание по обновлению. Но в данном случае зараженный компьютер загружен из безопасного режима с командной строкой, интернета нет и обновиться не как. Как и с другого компьютера, с которого сейчас пишу проблемы с обновлением, взял теперь базы у коллеги за август. Системное восстановление уже отключено давно с самого начала. t.exe - это у меня запущен тотал коммандер, т.к. эксплорер не запускается. Корзину не знаю как очистить из командной строки. Логи прилагаю
логи
Последний раз редактировалось weberr; 14.01.2009 в 20:54.
-
А Вы скрипт запускали? Удалите из него строчки с t.exe.
-
-
Junior Member
- Вес репутации
- 58
да, запускал, поэтому и потерял его, снова вернул тотал на место.
-
Сообщение от
weberr
да, запускал, поэтому и потерял его, снова вернул тотал на место.
Повторите скрипт - все на местах осталось, строчки с тоталом просто удалите из скрипта.
-
-
Junior Member
- Вес репутации
- 58
я так понял вирусы на месте, повторить тот же скрипт и выложить новые логи?
-
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось weberr; 14.01.2009 в 20:54.
-
Почему базы АВЗ не обновили?
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление
- Корзину (Свойства/Файлы удалять немедленно...)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-00401C608512}');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось weberr; 14.01.2009 в 20:54.
-
Junior Member
- Вес репутации
- 58
хочу дополнить, что при нормальной загрузке вылетает в синий экран, загрузка идет только в безопасном режиме с командной строкой
-
Пофиксить в hijackthis:
Код:
O20 - Winlogon Notify: iifdeEUK - C:\WINDOWS\
Попробуйте такой в безопасном:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
QuarantineFile('C:\WINDOWS\system32\LIVESC~1.SCR','');
DeleteFile('C:\WINDOWS\system32\LIVESC~1.SCR');
DeleteFile('C:\Program Files\Microsoft Common\wuauclt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
executerepair(6);
executerepair(7);
executerepair(8);
executerepair(9);
executerepair(16);
RebootWindows(true);
end.
Попробуйте в нормально загрузиться, и сделать логи.(обновить авз не забудьте)
карантин по ссылке:http://virusinfo.info/upload_virus.php?tid=30182
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось weberr; 14.01.2009 в 20:54.
-
-Пофиксите
Код:
O20 - Winlogon Notify: iifdeEUK - C:\WINDOWS\
Больше ничего плохого не вижу.
В нормальном режиме так и не грузится?
-
-
Сообщение от
weberr
Корзину не знаю как очистить из командной строки.
На NTFS: rd /s c:\recycler
На FAT: rd /s c:\recycled
Будет вопрос - Вы уверены, что хотите удалить Корзину? Выбираем Y, и перезагрузим комп.
Так как корзина системный файл, новая корзина создаётся после перезагрузки.
P.S.:
RD /s = удалить все файлы и папки, включая корневую папку
RD = DELTREE
Paul
Последний раз редактировалось XP user; 16.09.2008 в 11:26.
-
Junior Member
- Вес репутации
- 58
в нормальном режиме после появления графической части загрузки Windows вылетает в синий экран и перезагрузка
Добавлено через 6 минут
в обычном безопасном режиме теперь загрузилась учетная запись.
Последний раз редактировалось weberr; 16.09.2008 в 12:18.
Причина: Добавлено