-
Junior Member
- Вес репутации
- 52
Диспетчер задач "отключен администратором", пропала панель задач и меню "Пуск"
Здравствуйте!
При работе с интернетом открылась страница с требованием выслать смс на номер. Закрыть ее или свернуть окно не получилось. На Ctrl+Alt+Del и Ctrl+Shift+Esc выдается сообщение, что диспетчер задач "отключен администратором". При последующих включениях компьютера оказалось, что рабочий стол на экране пуст: нет ярлыков, панели задач и меню "Пуск". Само открывается окно проводника, откуда и работаю.
Антивирусные программы вирусов не обнаружили. Но Dr.Web выдал сообщение, что модифицирован файл HOSTS. На вопрос:"Восстановить файл в стандартное состояние"- я ответила да.
Обновление баз в AVZ не получилось. Выдалась ошибка загрузки файла с описанием обновления avzupd.zip ... [21, 00002EFD].
Очень надеюсь на вашу помощь в восстановлении работы компьютера.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: Shell=C:\Documents and Settings\User\Local Settings\Application Data\Opera\Opera\profile\cache4\temporary_download\xxx_video_72476.avi.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\documents and settings\user\local settings\application data\opera\opera\profile\cache4\temporary_download\xxx_video_72476.avi.exe','');
DeleteFile('c:\documents and settings\user\local settings\application data\opera\opera\profile\cache4\temporary_download\xxx_video_72476.avi.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- попробуйте обновите базы AVZ
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог Gmer
Добавлено через 12 минут
Сообщение от
M@rin@
Обновление баз в AVZ не получилось.
скачайте архив отсюда, распакуйте его и замените папку Base в папке AVZ
Последний раз редактировалось polword; 19.02.2010 в 09:53.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
При входе в безопасном режиме как админ, проблема была как описана выше. При входе как обычный пользователь на экране появлялось окно сайта, требовавшего смс. В окно для кода этого смс ввела шифр, который нашла на сайте Dr.Web. Рабочий стол полностью появился, но диспетчер задач на комбинации клавиш не реагировал.
Далее все делала по Вашей схеме.
В HijackThis профиксить удалось только строку O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file), другой в открывшемся окне я не нашла.
Далее Файрвол сам определил и отправил в карантин подозрительный объект.
Обновление баз данных AVZ прошло успешно.
Сейчас все работает, но все же проверьте логи, которые высылаю.
Очень благодарна Вам за помощь, спасибо!
Последний раз редактировалось Numb; 19.02.2010 в 18:09.
Причина: Карантин в теме
-
virus.zip - удалите из темы
прикрепите к теме логи - virusinfo_syscheck.zip; hijackthis.log (вновь сделаные)
-
-
Junior Member
- Вес репутации
- 52
Прикрепила новые логи - virusinfo_syscheck.zip и hijackthis.log
Не понятно как virus.zip удалить из темы
-
Сделайте вот такой лог Gmer
-
-
Junior Member
- Вес репутации
- 52
Сделать лог Gmer не получилось. Процесс прервался, компьютер перезагрузился, Фаейрвол выдал сообщение об ошибке Agnitum и создал отчет об ошибке в файле feedback.zip.
-
Сообщение от
M@rin@
Сделать лог Gmer не получилось.
Защитный софт отключали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Да, действительно, защита была отклчена не вся. Высылаю полученный лог.
-
Лог оборванный какой-то.
Повторите сбор лога
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Повторяю сбор лога Gmer.
Выдает предупреждение: "Warning!!! GMER has found system modification, which might have been caused by Rootkit activity".
Дальше сбор лога зависает на строке \Device\00000039, выдается ошибка от Microsoft, приложение закрывается!
Сбор до конца не выполнен.
-
Снимите метку с Devices и повторите сбор лога
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Лог сделала.
Появилось сообщение: "Warning!!! GMER has found system modification caused by Rootkit activity".
Никаких сообщений о том, что лог выполнен в конце работы не выдавалось. Так и должно быть?
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 9o14jtd3.exe (gmer)
Код:
9o14jtd3.exe -del service espnkmyys
9o14jtd3.exe -del file "C:\WINDOWS\system32\gnbpbgl.dll"
9o14jtd3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\espnkmyys"
9o14jtd3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\espnkmyys"
9o14jtd3.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Снова сбор лога зависает на строке \Device\00000039, выдается ошибка от Microsoft, приложение закрывается. Компьютер виснет.
Последнее время при включении компьютера на панели задач появляется сообщение о том, что найдено новое устройство - модем на шине High Definition Audio (хотя ничего подобного мы не заказывали), а затем открывается мастер нового оборудования.
А при выключении появляется просьба установить важные обновления.
Последний раз редактировалось M@rin@; 22.02.2010 в 09:21.
Причина: Добавление
-
Опять те же грабли
Сообщение от
thyrex
Снимите метку с Devices и повторите сбор лога
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Да не было там метки на Devices.
Похоже, что комп притормаживал при снятии защиты, а я слишком быстро жала на cleanup.bat.
cleanup.bat выполнялся неверно, отсюда глюки с gmer.
Последний раз при работе с gmer никаких предупреждений и ошибок не выдавалось, но после сбора лога компьтер завис как всегда.
-
Ничего плохого нет в логе. Новое устройство (если появилось) удалите в диспетчере устройств. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 52
Проблем больше не вижу.
Огромное всем СПАСИБО за помощь!