-
Junior Member
- Вес репутации
- 57
Атакован вирусом через explorer.exe
Прошу помочь очень!Я случайно черезфлешку заразил комп жутким вирусом!Симптомы:
перед зауском винды выдает автоматическую ошибку explorer.exe а после ок или отмена и все типа ормально-но не зарускается ни каспер ни AVZ и к сожалению безопасный режим тоже не катит(не входит в без. режим((ошибка при выводите дисп.задач-доступ в реестр запрещен адином(админ хотя я)!Открылся только однапрога Анвир таск менеджер!Там нашел процесс но убил его-щас нет никаких процесов но все равно тоже самое-в автозапуске ничего подозрительного оставил только те процессы которые знаю)!При входе в инет в процессах 2 iexplorer.exe хотя запущена всего одна!и не входит во многие сайты связанные с антивирусами-точнее с онлайн проверкой компа типа virustotal.com и т.д.(( и сайт каспера((
и еще почемуто вирус убил мой Media Player Clasic при поптыке запустить фидео файл с этимплеером выдает ошибку типа Runtime error!
Прошу помоч-отчаялся(
Проошу еще кое что простить -я пишу с того зараженого компа!И почемуто (прошу поверить)не могу зайти в эту ссылку http://virusinfo.info/showthread.php?t=1235-там кажется у вас правила-но не заходит(((
Последний раз редактировалось Yuzner; 14.12.2009 в 22:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Найдите незаражённую машину и таки прочиатйте правила. На ней же скачайте все необходимые инструменты, к больному доставьте на флэшке или болванке. CureIt в первую очередь попробуйте.
-
-
+ еще попробуйте переименовать Avz и Hijackthis (например, в game14.bat или soccer.pif), если получится, сделайте логи. Систему сканировали AVPtool или CureIT?
-
-
Junior Member
- Вес репутации
- 57
нет пока не сканировал-зато обнаружил несколько прикольных вещей-1ое кажется я нашел источник заражения-это игра discipes 3 скачаная через торрент-ну во первых ее уже нету в трекере во вторых почемуто какой то файл-ctfmon.exe требовал файл из установочного диска этой игры(самато игра тоже не открылась)!
в третьих этот ctfmon.exe уже надоел прощениями об автозапуске!я отказываю(он кажется отвечает за панель языка-кстати он у меня тоже глючить начал)!ща постораюся скачать cureit разберуся как он работает и скажу-только скажите что сообщить?
-
-
-
Junior Member
- Вес репутации
- 57
Я уже все скачал ночью после работы все проверю-но заранее вопрос а если ни один из указанных в правилах утилитов или прог не откроется че делать?
И еще я попробовал АВЗ переименовать и запустить-в процессах АВЗ сидит но к сожалению его нету(т.е. прога не запускается(только в процессах!
Последний раз редактировалось Yuzner; 15.12.2009 в 12:40.
-
Junior Member
- Вес репутации
- 57
Вон тута 2 лога оба от один до того как AVPtool уничтожил многие вируса-другой после!АВЗ нету потому что сколько не пытаюся-даже после полной проверки АВПтулзом и уничтожением больгошо количества зараженных exe-файлов вирусом "Win32.Sality.aa" все равно не могу запустить ни Каспер ни АВЗ((ощибки уже не дает-и лишнего инет эксплорера в процессах не наблюдается!Но Каспер вообще не открывается(а АВЗ только в процессах висит и все(
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\init.exe,
O1 - Hosts: 195.82.147.147 pornolab.net static.pornolab.net
O1 - Hosts: 195.82.147.120 bt.pornolab.net
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
Пробуйте сделать логи полиморфным AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Извиняюся за дурацкий вопрос, а как фиксить?P.S. может про фиксирование как нить сам догадаюся-но все равно подскажите как?)
Последний раз редактировалось Yuzner; 17.12.2009 в 10:43.
-
-
-
Junior Member
- Вес репутации
- 57
-
Junior Member
- Вес репутации
- 57
Я вот что сделал-
Скачал salitykiller and salityregs почистил киллером комп-а в реге были файлы для реестра с их помощью отключил типа автозапус и включил безопасный режим!Что мне делать в безопасном режиме!
И еще АВЗ все еще не открывает и каспер тажа лажа-и даже после переустановки каспер она все равно не открылась(
А еще АВЗ полиморфный открылся и заработал-с ним нашел 3-4 вируса и почистил их типа-подскажите что с ним еще мне делать?т.е. про скрипты!
-
Сделайте логи в полиморфном avz.
-
-
Junior Member
- Вес репутации
- 57
Вот логи и еще я ошибся лишний один процесс iexplorer.exe не исчез из процессов!(
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\init.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\SnippingTool.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe');
DeleteFile('C:\WINDOWS\system32\init.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Дополнения к IE стоят ?
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 57
Вот новые!И еще щас попробую загрузить то что вы просили-карантин!
-
Junior Member
- Вес репутации
- 57
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте логи обычным avz.
-
-
Junior Member
- Вес репутации
- 57
а точно уверены что после этого АВЗ запуститься?
И еще при поиске вирусов Virus removal tool'ом от каспера почему то находятся файлы которые уязвимы но их утилита не лечит(
19.12.2009 16:53:43 Обнаружено: http://www.viruslist.com/ru/advisories/31822 C:\Program Files\Bonjour\mDNSResponder.exe
19.12.2009 16:58:25 Обнаружено: http://www.viruslist.com/ru/advisories/31744 C:\Program Files\Common Files\Microsoft Shared\Office10\MSO.DLL
19.12.2009 17:00:32 Обнаружено: http://www.viruslist.com/ru/advisories/34036 C:\Program Files\Foxit Reader\FoxitReader.exe
19.12.2009 17:02:14 Обнаружено: http://www.viruslist.com/ru/advisories/35364 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
19.12.2009 17:03:04 Обнаружено: http://www.viruslist.com/ru/advisories/37584 C:\Program Files\Opera\program\plugins\NPSWF32.dll
19.12.2009 17:03:31 Обнаружено: http://www.viruslist.com/ru/advisories/35126 C:\Program Files\Winamp\winamp.exe.bak
19.12.2009 17:03:32 Обнаружено: http://www.viruslist.com/ru/advisories/35126 C:\Program Files\Winamp\winamp.exe
19.12.2009 17:09:56 Обнаружено: http://www.viruslist.com/ru/advisories/23655 C:\WINDOWS\system32\msxml6.dll
19.12.2009 17:11:09 Обнаружено: http://www.viruslist.com/ru/advisories/37584 C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
-
Сообщение от
Yuzner
а точно уверены что после этого АВЗ запуститься?
А какое отношение автораны могут иметь к запуску AVZ?
Сообщение от
Yuzner
находятся файлы которые уязвимы но их утилита не лечит(
Уязвимости не лечатся, а исправляются патчами или установкой новых версий программ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-