-
Junior Member
- Вес репутации
- 55
Помогите пожалуйста справиться с Internet Security
Словила Internet Security еще 9 января. Блокирует все, не могу ничего запустить, востановление отключено, диспетчер задач отключен. При загрузке с LiveCD проверила свежим CureIt - он ничего не нашел, удалила вручную WINDOWS\system32\sdra64.exe , больше ничего не нашла. Пробовала вводить коды - не подходят и банер не пропадает. Дальше не знаю что делать. В моем LiveCD не находит сетевую карту и интернета нету.
Логи сделать не могу, проверить комп АВЗ тоже не могу. Переустанавливать винду очень не желательно, и боюсь что при резервном копировании этот вирус залезет в новую винду. Посоветуйте пожалуйста что делать.
Последний раз редактировалось ketti83; 16.01.2010 в 16:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Попробуйте делать логи в безопасном режиме.
2. Попробуйте сделать лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
в безопасном режиме тоже самое что и в основном, с 1 отличием - запускается 1 раз 1 программа, кроме всех антивирусных. То есть запускается калькулятор или фотошоп ... А вот при входе в папку с АВЗ - компьютер перезагружается, пробовала переименовать и папку и exe - запускает и сразу перезагружается. Попробую сделать лог gmer, но боюсь что вирус мне не даст этого сделать. А этот лог можно сделать с лайфсд?
-
Сообщение от
ketti83
А этот лог можно сделать с лайфсд?
В LiveCD имеет смысл делать только сканирование. Логи - нет.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Я сделаю проверку gmer-ом когда приду домой. Сейчас в гостях там где есть интернет. Хотела спросить есть ли смысл прикрепить мой винчестер к другой машине и еще раз проверить антивирусом? И большая ли опасность заразить и этот компьютер?
-
Сообщение от
ketti83
есть ли смысл прикрепить мой винчестер к другой машине и еще раз проверить антивирусом? И большая ли опасность заразить и этот компьютер?
Смысл есть, только базы антивируса обновите, должны быть самые свежие. Опасности нет, вы ведь не будете со своего диска ничего запускать.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
После проверки моего винчестера на другой машине доктором вебом - было удалено много файлов. Теперь виндовс запустилась и дала мне делать логи (хотя hijackthis запустился только с флешки), а антивирус вообще пропал. Диспетчер задач и востановление системы по прежнему не работают.
Вложение 206607
Вложение 206608
Вложение 206609
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\c_857.nls:AJOOhcG','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lbd.sys','');
QuarantineFile('C:\WINDOWS\system32\FsUsbExDisk.SYS','');
DeleteFile('C:\WINDOWS\system32\c_857.nls:AJOOhcG');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Пофиксите Hijackthis
Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
Закачайте карантин по красной ссылке вверху. Повторите логи
-
-
Junior Member
- Вес репутации
- 55
Все сделала как вы написали.
Диспетчер задач появился, антивирус, востановление системы тоже.
А вот в "Мой компьютер" появилась "Веб-папки" - что с ними делать?
Ниже новые логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Хотела еще спросить о автозапуске в msconfig, я когда-то давно отключила там несколько процесов, но они так там и висят. Как их можно оттуда удалить? Скрин прилагаю
2.JPG
Я знаю что поле вирусом могут оставатся "дырки" в защите компьютера, как об этом можно узнать, и на какие настройки стоит обратить внимание?
Карантин закачала
Файл сохранён как 100117_115141_virusinfo_cure_4b52cf9d96988.zip
Размер файла 17164
MD5 12dae62fcde30363ac3f92f1ac97f464
-
Сообщение от
ketti83
Как их можно оттуда удалить? Скрин прилагаю
В AVZ Сервис - Менеджер автозапуска - там можно лишнее поудалять. Только не переборщите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
ketti83
в "Мой компьютер" появилась "Веб-папки" - что с ними делать?
Выполните скрипт:
Код:
begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
скрипт выполнила - Веб-папки пропали
может я не так что-то делаю, но я не вижу в менеджере автозапуска записи с b.exe
-
Там в Менеджере есть иконка "дискетка". Сохраните лог и пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Вложение 206699
Лог из Менеджера автозапуска
-
Сообщение от
ketti83
b.exe
- из msconfig полный путь на этот файл пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
C:\Documents and Settings\sv\Local Settings\Temp
в реестре software\microsoft\windows\currentversion\run
это полный путь к b.exe, но это был вирус и я его удалила. тоесть физически файла нету, а в автозапуске он прописан.
-
Выполнить:
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RUN','b');
end.
Проверить по msconfig
Последний раз редактировалось Bratez; 17.01.2010 в 15:22.
Причина: поправил путь
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
скрипт выполнено, написало что без ошибок. но в msconfig он все так же есть.
а каратнин смотрели и логи, там все нормально?
-
Я немного изменил скрипт в сообщении #17, выполните его еще раз.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
скрипт выполнила еще раз, перезагрузилась а в msconfig он все так же есть.
зашла в реестр там нету записи о файле b.exe по адресу HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RUN