Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Абсолютный тупик. (заявка № 52938)

  1. #1
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37

    Thumbs up Абсолютный тупик.

    Очень пафосное название , потому что ситуация действительно на мой взгляд и по моему опыту общения с вирусней тупиковая.
    Младший брат ползал по интернету , где-то увидел ссылку на файл , скачал , запустил в IE. Как оказалось - скрипт , который покопался в настройках и после издевательских щелканий мной по окошкам исчез.
    После скрипта заблокированы Task Manager , Восстановление системы , брэндмауер и ВСЕ попытки запустить любое приложение (в т.ч. установщики через .exe , .msi работает) кроме IE и проводника. Никаких логов avz , никакого Хайджека , никакого CureIt.
    После ребута также на учетной записи , откуда запустили скрипт , полностью стерто старт-меню.
    Единственное что нашлось после перфоманса - сам скрипт.
    Windows XP Home SP3

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Скачайте Special AVZ (alias kiss_me.pif) и сделайте логи им. Базы обновлять не надо.

  4. #3
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37
    Кхм... Может все дело в том , что фаайлообменник немецкий , но:
    Error!!! File not found! Please wait while we transfer you...
    АПД: у человека с этого форума нашел в подписи ссылку на рапиду

    Логи Special AVZ (не .pif а .cmd)
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 26.08.2009 в 09:49.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\svchosts.exe');
     QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\NEventMessages.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\adfs.sys','');
     QuarantineFile('c:\documents and settings\Администратор\local settings\temp\jkos-Администратор\binaries\scanningprocess.exe','');
     QuarantineFile('c:\user\moto.exe','');
     DeleteFile('c:\user\moto.exe');
     ExecuteRepair(1);
    ExecuteRepair(6);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37
    Перегрузился из сейф мода на зараженную учетку , отлипли екзешники. Могу собирать логи и карантин с нее (на административной в сейф моде проблема с разрешениям экрана)?
    АПД: Спустя минуту-2 после запуска основной учетку выпала "Ошибка передачи данных с ядром". Полной разрухи за этим не последовало.
    АПД 2: Поторопился , старт-меню все так же пусто , залезть в проводник с папок на раб. столе не дает (Операция отменена вследствие действующих для компьютера ограничений. обратитесь к администратору сети).

    voi la
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 26.08.2009 в 09:47.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Error!!! File not found! Please wait while we transfer you..
    Да, 10 секунд подждать надо. Хостинг бесплатный, т.е. реклама там.
    Восстановление системы: включено
    Выключите системное восстановление, переделайте логи.

  8. #7
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37
    Done
    За компанию сделал лог Хайджака раз екзе теперь работают
    Вложения Вложения
    Последний раз редактировалось XBocT; 26.08.2009 в 12:54.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)
    Все логи сделать в нормальном режиме.

    C:\Documents and Settings\user\Мои документы\Загрузки\naebi221.zip
    C:\Sprut.rar
    Это Ваше?

  10. #9
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Все логи сделать в нормальном режиме.

    Это Ваше?
    Компьютермо пользуются 3 человека , судя по расположению - материал для рассмотрения отцом.
    Нормальный режим - т.е. без сейф-мода? Невозможно , не могу запустить проводник , на любые попытки что-то записать на диск пишет что нет прав.
    Сейчас раздаю права пользователю.

    Добавлено через 11 минут

    Телодвижения ничего не дали , даже с розданными правами на диск не могу не открыть , не записать.
    Последний раз редактировалось XBocT; 26.08.2009 в 14:41. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    - Сделайте лог MBAM хоть в безопасном. Запустите полное сканирование.

  12. #11
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37
    Быструю проверку МБАМ удалось сделать и в нормальном режиме , отчет тоже сохранился.
    Пока результаты быстрой проверки , запускаю полную.
    П.С. Да , все что засветилось в результатах быстрой проверки сношу.

    Вернулся контроль за рабочим столом и проводник , но Мой Компьютер в проводнике пуст.
    Пока идет проверка твикером поправлю что увижу ^^
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 26.08.2009 в 18:00.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от XBocT Посмотреть сообщение
    Да , все что засветилось в результатах быстрой проверки сношу.
    Да

  14. #13
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37
    Пока идет проверка решил пока составить список проблем которые остались после легкой проверки (большая работает уже 3 часа , нашла еще 8 заражений):
    Одна проблема - разрушенное старт меню. После чистки реестра почти все встало на места , корзину переименовал сам , остался только Пуск - его можно как-то вернуть к прежнему состоянию? Сейчас там только недавно запускаемые . панель управления , программы по умолчанию , справка-поиск-выполнить и выключение.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от XBocT Посмотреть сообщение
    Пуск - его можно как-то вернуть к прежнему состоянию?
    К прежнему - не знаю, а правой кнопкой мыши на открытое меню/свойства - может там что-то можно изменить/настроить?

  16. #15
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37
    готово
    Попробовал в свойствах меню - поставил Мой компьютер , но в меню он все равно ен отображается , попробую ребутнуться пока.
    АПД после ребута все также нехватает только ссылки на мой компьютер в пуске и самой папки Мой компьютер в проводнике (она просто пустая , но в навигации проводника слева все отображается)
    Вложения Вложения
    Последний раз редактировалось XBocT; 26.08.2009 в 20:13.

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Посмотрите в реестре в ветке
    Код:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    наличие параметра NoStartMenuMorePrograms. Если он есть, удалите

    Вот эти строки нужно в MBAM удалить
    Код:
    F:\System Volume Information\_restore{6902BB27-9D06-47FE-BAD8-F075CA9A62D8}\RP67\A0131804.exe (Password.Stealer) -> No action taken.
    F:\System Volume Information\_restore{6902BB27-9D06-47FE-BAD8-F075CA9A62D8}\RP77\A0141716.exe (Trojan.Srizbi) -> No action taken.
    F:\WINDOWS\erqjuhwz.exe (Trojan.FakeAlert) -> No action taken.
    F:\WINDOWS\system32\mmmsztsz.dll (Trojan.Agent) -> No action taken.
    Запустите программу, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37
    Удалил строку в реестре. Пока никаких изменений , может после ребута сменил еще пару строк с 1 на 0 и добавил Мои документы , Музыка и Рисунки после ребута експлорера , а следовательно после полного ребута моего компьютера строка NoStartMenuMorePrograms не даст обратно Мой компьютер)
    То , что на диске F - Старая винда , видимо и вирусы ее еще остались (папка 666 и карантин в ней - старый авз , тогда не создавались логи и поэтому на все забил )
    Стер все - мне эти кейгены и тем более подозрительный зверек в библиотеке онлайн игры не нужны.
    Еще раз перепроверить и сдать отчет?)
    Последний раз редактировалось Rene-gad; 27.08.2009 в 13:52. Причина: overquoting removed

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Перегрузитесь, вдруг меню Программы появилось
    Потом лог MBAM еще сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37
    Цитата Сообщение от thyrex Посмотреть сообщение
    Перегрузитесь, вдруг меню Программы появилось
    Потом лог MBAM еще сделайте
    Никаких изменений после ребута пока что.
    Запускаю проверку и пока роюсь в реестре и шляюсь по айти форумам , может где еще варианты есть)
    АПД: Нашел как вернуть Мой компьютер (сработало)
    Чтобы удалить пункт Мой компьютер и заблокировать соответствующий флажок в диалоговом окне настройки, добавьте параметр типа
    Код:
    DWORD {20D04FE0-3AEA-1069-A2D8-08002B30309D}
    со значением, равным 1 в разделе
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\NonEnum
    Удаление вышеприведенного параметра или установка в 0 возвращает прежнее поведение
    теперь нехватает только стандартных программ навроде браузера и почтовика по умолчанию

    Добавлено через 13 минут

    ...Которые управлялись HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer NoStartMenuPinnedList.
    У меня все , осталось только проблема со списком всех программ (их явно было больше раз в 5 и стандартные программы неполные (в реестре нашел полный их список на HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MenuOrder\Start Menu2) и делается полная проверка.
    Последний раз редактировалось XBocT; 26.08.2009 в 21:05. Причина: Добавлено

  21. #20
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    37
    Лог МБАМ пуст , ваша работа закончена , меню программ я сам попробую восстановить (да и не критично это). Спасибо огромное за помощь!

  • Уважаемый(ая) XBocT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00078 seconds with 17 queries