Показано с 1 по 19 из 19.

Система заблокирована. (заявка № 49626)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2009
    Адрес
    Samara
    Сообщений
    271
    Вес репутации
    32

    Thumbs up Система заблокирована.

    Посмотрите плиз логи. На компе был вирус "система заблокирована, отправьте смс", после использования DRWeb LiveCD, система перестала загружаться(загрузка параметров пользователя, затем сохранение и выход в окно пользователей), восстановил на другом компе Userinit.exe, и соответствующий раздел реестра, комп загрузился, хайджек не запускается, ругается на политики, сделал логи avz, но авз не обновляется.
    Последний раз редактировалось SlyAss; 06.08.2009 в 17:22.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('digeste.dll','');
     QuarantineFile('crypts.dll','');
     QuarantineFile('C:\WIN-XP\system32\avpo.exe','');
     QuarantineFile('C:\Documents\Администратор\reader_s.exe','');
     DeleteService('protect');
     QuarantineFile('C:\WIN-XP\System32\drivers\protect.sys','');
     DeleteService('at1394');
     QuarantineFile('C:\WIN-XP\system32\at1394.sys','');
     QuarantineFile('C:\WIN-XP\system32\sopidkc.exe','');
     QuarantineFile('C:\WIN-XP\system32\tdctxte.exe','');
     DeleteService('2GIS UpdateClientService');
     QuarantineFile('C:\WIN-XP\TEMP\VRT34.tmp','');
     QuarantineFile('C:\WIN-XP\system32\drivers\hjgruijouyxpiq.sys','');
     DeleteFile('C:\WIN-XP\system32\drivers\hjgruijouyxpiq.sys');
     DeleteFile('C:\WIN-XP\TEMP\VRT34.tmp');
     DeleteFile('C:\WIN-XP\system32\at1394.sys');
     DeleteFile('C:\WIN-XP\System32\drivers\protect.sys');
     DeleteFile('C:\Documents\Администратор\reader_s.exe');
     DeleteFile('C:\WIN-XP\system32\avpo.exe');
     DeleteFile('crypts.dll');
     DeleteFile('digeste.dll');
     ExecuteRepair(13);
     ExecuteRepair(12);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пршлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    25.06.2009
    Адрес
    Samara
    Сообщений
    271
    Вес репутации
    32
    AVZ обновился, скидываю логи, хайджек не запускается, ругается на политики ограничения применения програмного обеспечения. Не открывается окно активации виндовс (я же винду обновлял, активировать бы . карантин отправил
    Последний раз редактировалось SlyAss; 06.08.2009 в 17:22.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('2d0ed0d-0ee0-4f90-8827-78cefb8f4988');
     QuarantineFile('C:\WIN-XP\system32\ieudinit.exe','');
     QuarantineFile('C:\WIN-XP\system32\gread32.exe','');
     QuarantineFile('C:\WIN-XP\services.exe','');
     DeleteService('tdctxte');
     DeleteService('sopidkc');
     DeleteFile('C:\WIN-XP\system32\sopidkc.exe');
     DeleteFile('C:\WIN-XP\system32\tdctxte.exe');
     DeleteFile('C:\WIN-XP\services.exe');
     DeleteFile('C:\WIN-XP\system32\gread32.exe');
     DeleteFile('C:\WIN-XP\system32\ieudinit.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    25.06.2009
    Адрес
    Samara
    Сообщений
    271
    Вес репутации
    32
    Сделал. Активация винды пока не открывается, странички в ИЕ тоже.
    Последний раз редактировалось SlyAss; 06.08.2009 в 17:22.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Какой антивирус используете: Symantec или AVG?

    Пофиксить в HiJack
    Код:
     R3 - URLSearchHook: (no name) -  - (no file)
    R3 - URLSearchHook: (no name) - *{95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) - *{09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
    R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O4 - HKLM\..\Run: [reader_s] C:\WIN-XP\System32\reader_s.exe
    O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
    O20 - Winlogon Notify: crypt - C:\WIN-XP\
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WIN-XP\system32\afisicx.exe','');
     QuarantineFile('c:\progra~1\ThunMail\testabd.dll','');
     QuarantineFile('C:\WIN-XP\System32\reader_s.exe','');
     DeleteFile('C:\WIN-XP\System32\reader_s.exe');
     DeleteFile('c:\progra~1\ThunMail\testabd.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    25.06.2009
    Адрес
    Samara
    Сообщений
    271
    Вес репутации
    32
    Сделал. Карантин отправил
    Последний раз редактировалось SlyAss; 06.08.2009 в 17:23.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    C:\WIN-XP\system32\afisicx.exe проверьте на virustotal Ссылку на результат проверки сообщите

    Сделайте такой лог http://virusinfo.info/showthread.php?t=40118
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    25.06.2009
    Адрес
    Samara
    Сообщений
    271
    Вес репутации
    32
    Лог сделал, такого (C:\WIN-XP\system32\afisicx.exe) файла в системе не нашел.
    Последний раз редактировалось SlyAss; 06.08.2009 в 17:23.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    скопируйте содержимое в блокнот , сохраните как 1.bat , в папке со gmer , запустите
    Код:
    gmer.exe -del service hjgruipcbfjwxf
    gmer.exe -del service SKYNETbitlwmnm
    gmer.exe -del file "C:\WINDOWS\system32\drivers\hjgruijouyxpiq.sys"
    gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETpcxnssrs.sys"
    gmer.exe -del file "C:\WINDOWS\system32\hjgruiqyxueqdw.dll"
    gmer.exe -del file "C:\WINDOWS\system32\hjgruibrflcnqe.dat"
    gmer.exe -del file "C:\WINDOWS\system32\hjgruitfpccfge.dll"
    gmer.exe -del file "C:\WINDOWS\system32\hjgruiwswwktus.dat"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETbixeoowk.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETquewannv.dat"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETxfqkbijb.dll"
    gmer.exe -del file "C:\WINDOWS\system32\SKYNETctfffvkp.dat"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETbitlwmnm"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hjgruipcbfjwxf"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETbitlwmnm"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hjgruipcbfjwxf"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETbitlwmnm"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruipcbfjwxf"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet\Services\SKYNETbitlwmnm"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet\Services\hjgruipcbfjwxf"
    gmer -reboot
    повторите лог gmer

  12. #11
    Junior Member Репутация
    Регистрация
    25.06.2009
    Адрес
    Samara
    Сообщений
    271
    Вес репутации
    32
    батником файлы не удаляются, написано отказано в доступе.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    лог gmer где ?

  14. #13
    Junior Member Репутация
    Регистрация
    25.06.2009
    Адрес
    Samara
    Сообщений
    271
    Вес репутации
    32
    Вот он..... Ответьте пожалуйста, а то уже скоро срок активации кончится (((
    Последний раз редактировалось SlyAss; 06.08.2009 в 17:23.

  15. #14
    Junior Member Репутация
    Регистрация
    25.06.2009
    Адрес
    Samara
    Сообщений
    271
    Вес репутации
    32
    Ребят, мне кто-нибудь ответит, или не ждать? 2 дня прошло уже...

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\hjgruipcbfjwxf"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\SKYNETbitlwmnm"
    gmer -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    25.06.2009
    Адрес
    Samara
    Сообщений
    271
    Вес репутации
    32
    Сделал, лог прикладываю
    Последний раз редактировалось SlyAss; 06.08.2009 в 17:23.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Чисто. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    25.06.2009
    Адрес
    Samara
    Сообщений
    271
    Вес репутации
    32
    не открываются странички в IE. не запускается окно с активацией виндовс.. может сверху переустановить?

    Добавлено через 2 часа 0 минут

    поставил IE 8 . все вроде работает , спасибочки
    Последний раз редактировалось SlyAss; 16.07.2009 в 14:52. Причина: Добавлено

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\win-xp\system32\drivers\hjgruijouyxpiq.sys - Rootkit.Win32.Pakes.ts ( BitDefender: Gen:Rootkit.Heur.4018E7A6A6 )


  • Уважаемый(ая) SlyAss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Заблокирована система
      От Светлана в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.04.2012, 18:24
    2. заблокирована система
      От Vitus.virusinfo в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 02.07.2011, 19:47
    3. заблокирована система
      От yangier в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.06.2011, 15:38
    4. система заблокирована
      От pereir в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.12.2009, 17:28
    5. Заблокирована система
      От Sn@kE в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 03.10.2009, 11:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01069 seconds with 16 queries