-
Junior Member
- Вес репутации
- 56
вирус блокиратор
Приветствую.
Ноут HP 6720S, Intep Petium Dual 1.73MHz RAM 2Gb, WinXP SP2. Словил вирус, блокирует работу DrWeb 4.44, диспетчера задач и regedit и ряд других программ. IE не запускался вовсе или сразу с ошибкой. При загрузке системы сразу (еще до логона) выскакивают ошибки (текст к сожалению уже не помню) тех процессов, что в автозагрузке.
В без.режиме KAV Removal tool не запускался, а CureIT нашел пару вирей, но ситуация не изменилась. AVZ вообще не запускался. А вот gmer запустился с помощью него я и увидел скрытый запуск AppInit_DLLs G:\WINDOWS\Inf\mdmpp.PNF:eRaxc+N6GSN. Загрузился с LiveCD перенес файл mdmpp.pnf в архив в другое место, на всякий пожарный прошелся еще раз последними KAV Removal tool и CureIT - нашли пару вирей но они больше были похоже на adware. После переноса mdmpp.PNF система загрузилась нормально, сразу стартовал AVZ4 прошелся и но он прошел не полностью (просто сам закрылся). После него загрузка тоже прошла хорошо, только вот DrWeb не запускается (который до этого был) в Просмотре событий фигурирует такое сообщение:
EventID 866 Предупреждение
Доступ к G:\PROGRA~1\DrWeb\spiderui.exe был ограничен Администратором по расположению правилом политики {f3e2eae9-acab-4592-bf16-495c8d6a97ae}, расположенной в G:\Program Files\DrWeb
захожу gpedit.msc нигде политики ограничения ПО вообще не определены.
Судя по всего прямая дорога переустанавливать антивирь (ибо всё остальное работает вроде как), но решил на всякий пожарный попросить помощи в проверки моего компа.
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: bnrlibP - {2309EC4E-C3C7-4675-BDED-614C0BEA33E7} - G:\WINDOWS\system32\bnrlib.dll (file missing)
O2 - BHO: xxrlibP - {2D73F180-D74F-4CD6-8ABB-55A42FD8C256} - G:\Documents and Settings\All Users\Application Data\xxrlib.dll (file missing)
O2 - BHO: vjrlibP - {49C487F0-E7EB-4B92-AAC4-5B497189A2C4} - G:\WINDOWS\system32\vjrlib.dll (file missing)
O20 - AppInit_DLLs: G:\WINDOWS\Inf\mdmpp.PNF:eRaxc+N6GSN
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\WINDOWS\Inf\mdmpp.PNF:eRaxc+N6GSN','');
DeleteFile('G:\WINDOWS\Inf\mdmpp.PNF:eRaxc+N6GSN');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=68874).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
ок
но только файла mdmpp.PNF в windows\inf нет
но по такому случаю верну
-
Junior Member
- Вес репутации
- 56
готово
всё сделал
др веб загрузился нормально
-
Все нормально в логах.
Проблем больше нет?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
да всё нормально
спасибо большое
чё за зверь то? новичок?
-
Сообщение от
golmarco
чё за зверь то?
В карантин он не попал.
Не новичок, с такими уже месяц наверное воюем...
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-