Проблема собственно возникает второй раз, в первый раз было уже все очень сильно запущено и пришлось систему снести, винт отформатировать. Однако, не прошло и 2 недель, как вирус появился вновь, причем хозяйка компа утверждает под присягой, что на сайты залезала, только государственные, а чужие флешки в ее системник не вхожи. В общем, то если верить Доктору Хаусу - все лгут. Но имеет то, что имеем, комп снова заражен и наблюдаются следующие симпотомы:
1. Восстановление системы заблокировано, причем, на сером фоне птичка на запрете восстановления системы стоит. AVZ разблокировать восстановление системы не может, точнее пишет, что разблокировал, но всё остется по прежнему.
2. Появилась служба с именем "qsmhpъiЙ"
3. Скрытые файлы не отображаются, причем, когда ставлю птичку в Свойствах папки на пункте отображать скрытые фалы, ничего не происходит, а при повторном запуске свойства папки, птичка стоит, на пункте Не отображать скрыте файлы.
4. AVZ и HijackThis прекращают работу после запуска, я переименовал ехе файлы, просто вставил цифирку 1 и эти программки запустились и работали.
5. Компьютер исчез из сети, т.е. он сам видит всех в сетевом окружении, а вот его в сети никто не видит.
Ну собственно, при подготовке к диагностике, я в безопасном режиме проверял комп CureIt несколько раз, каждый раз вирусов становилось все меньше , после третей проверки он нашел только 1 вирус.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Видимые изменения:
1. Отключение восстановления системы разблокировалось, птичка там стоит.
2. Скрытые файлы и папки теперь видно, однако птичка с пункта "Скрыть защищенные системные файлы" не убирается, ну т.е. убирается, но появляется вновь.
3. Однако, компьютер по прежнему не видно в локальной сети.
4. Служба с именем "qsmhpъiЙ" не удалилась, зато теперь её стало возможно отключить, что собственно я и сделал.
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте новый лог virusinfo_syscheck.zip и опишите какие проблемы остались.
Вот что получилось:
1. AVZ теперь запускается без изменения имени, это из хорошего ).
2. В свойствах папки птичка с пункта "Скрыть защищенные системные файлы" не убирается, ну т.е. убирается, но появляется вновь (эта проблемка осталась).
3. Расшаренные папки на этом компьютере другим компам в локальной сети не видны, однако он пингуется через командную строку.
Вообще, спасибо большое за помощь.
Карантин послать правильно не получается, пишет ошибку, так как такой файл уже был отправлен, я его как честный дядя переименовал, но та же история. В целом файл с карантином пустой, я посмотрел , поэтому прикрепляю его к ответу.
В свойствах папки птичка с пункта "Скрыть защищенные системные файлы" не убирается, ну т.е. убирается, но появляется вновь (эта проблемка осталась).
После сканирования MBAM в отчете явный вирус C:\WINDOWS\Prefetch\SVCHOST.EXE (Trojan.Agent) - я его удалять не стал пока, потому что в инструкции, на которую отправляет ваша ссылка, сказано ничего не удалять по своему усмотрению.
Проблема с отображением скрытых защищенных системных файлов не решена.
Кроме того, нашел еще одну проблемку:
Зашел в Центр обеспечения безопасности и обнаружил, что пункт "Изменить способ оповещения центом обеспечения безопасности" заблокирован, попытался войти в Параметры Брендмауэра Windows - пишет, что в следствии неопределенной ошибки не удается отобразить параметры Брендмауэра Windows.
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
begin
RegKeyResetSecurityEx('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer');
RegKeyResetSecurityEx('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer');
end.
3) Пуск - Выполнить, введите regsvr32 /i shell32.dll и нажмите ввод.
4) Перезагрузите компьютер.
5) Сообщите остались ли какие-либо проблемы.
Зашел в Центр обеспечения безопасности и обнаружил, что пункт "Изменить способ оповещения центом обеспечения безопасности" заблокирован, попытался войти в Параметры Брендмауэра Windows - пишет, что в следствии неопределенной ошибки не удается отобразить параметры Брендмауэра Windows.
эта проблема осталась.
Однако, проблемы со скрытием системных файлов больше нет. Большое спасибо.
Это нормально - просто firewall сторонних производителей (у вас Symantec) при работе отключают встроенный в WINDOWS firewall, чтобы не возникало конфликтов.
Также проверьте запущена ли служба брандмауэра WINDOWS.
Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Заставьте хозяйку компьютера ознакомиться с этой темой: http://virusinfo.info/showthread.php?t=30339
В общем, Центр обеспечения безопасности в службах был отключен, я его включил и пункт "Изменить способ оповещения центом обеспечения безопасности" стал активным.
Службы Брендмауэр Windows вообще с списке служб нет, поэтому и возникает неопределенной ошибка при запуске параметров брендмауэра.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Вирус с файлами msnwm.exe и kernelx86.sys
, после третей проверки он нашел только 1 вирус.
Сообщение от Badabum
