-
Junior Member
- Вес репутации
- 56
Что то блокирует панель задач и диски
Всем привет
Пытаюсь победить вирус на компутере знакомого
В целом его поведение такое:
ПРи логине под пользователем блокируется панель задач и диспетчер задач
Иконки на рабочем столе кликабельные но если отрыть мой компутер то там при кликах на дисках ничего не происходит
ПРи блокировке панели задач она даже не отрисовывает ничего на себе после закрытие приложений
Английский - РУсский не переключается
Диспетчер задач не поднимается и по горячим клавишам Ctrl Shift Esc или Ctrl Alt Del и далее по кнопке
При загрузке в Безопасный же режим компутер после некоторого простоя ПРОСТО выключается. Первый раз такое вижу просто раз и всё как будто я держал кнопку питания больше 5 секунд.
Процессор вроди не перегревается ведь в обычном режиме компутер стоит и работает хоть сколько... Так что лечение в безопасном режиме можно только если быстро всё выполнить...
В реестре в RUN секции вроди бы ничего подозрительного нет
CureIT проверить не смог - а вот AVP RemovalTOol нашёл разных 5 вирусов включая какой то RootKit все они лежали в папке Recycler на диске да по каким то сложным путям. RemovalTOol сказал что пофиксил всё но после перезагрущки всё по новой. Я решил таки приложить картинку того что нашёл AVP RemovalTOol хотть вы и настоятельно не просили так поступать..
Я при загрузке благо мой компутер не до упора заблокирован - создал нового пользователя и после перезагрузки зашёл под ним. Создание профиля шло ужасно долго - так не должно быть
Затем я даже смог малость покопатьс в компе но потом всё заблокировалось всё равно
Как спасаюсь щас что бы как то пролечиться:
Благо вирус не блокирует редактор рееестра - я в реестре прописал автозапуск FAR и после загрузки компа когда всё заблокировано я спасаюсь тем что в фаре могу всё запускать...
Буду рад вашей помощи т к человеку помоч хочется да и важно понять что за дрянь такая на компе завелась...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9465681160-0626904896-366020975-6432\wingn.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9465681160-0626904896-366020975-6432\wingn.exe');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(5);
Executerepair(6);
Executerepair(9);
Executerepair(10);
Executerepair(11);
Executerepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 56
Скрипт выполнил...
карантины присылаю
Заметил что по пути
D:\RECYCLER\S-1-5-21-1229272821-879983540-725345543-1007\dd30.exe
есть EXE если его удалять то он появляется заново с новым номером...
так же там куча других файлов - высылаю скрин шон в аттаче
Общий статус - пока не победили заразу всё равно блокирует панель задач но как то временами т е то есть блокировка то нет
Такое ощущение что это зависит от ого запущено ли какое антивирусное по или нет... не могу пока уловить закономерности
Файлы тоже прилагаю ...
Файлы карантина какие то большие оказались
я решил их ещё сюда залить:
http://disk.tom.ru/6xgjbgs/1/bde56/2010-04-13.zip
Заранее спасибо
-
Обязательно!!!Отключите Системное восстановление!!! как- посмотреть можно тут
Сделайте лог MBAM.
-
-
Junior Member
- Вес репутации
- 56
Прикрепляю запрошенный лог
-
Удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\ii (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\id (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\host (Trojan.Agent) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные папки:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\syspck32.exe (Trojan.Downloader) -> No action taken.
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM
-
-
Junior Member
- Вес репутации
- 56
Почистил найденное в MBAM
Высылаю новые файлы
Буду рад помощи...
Описанный EXE в папке так и сидит
удалить его просто так не выходит...
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('D:\RECYCLER\S-1-5-21-1229272821-879983540-725345543-1007 ', '*.exe', false);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 56
Попробовал выполнить скрипт
Не помогло - файл даже не удалился т е его имя на очередной номер не сменилось
К тому же как я понял скрипт должен вызвать перезагрузку - этого не произошло
КАк собственно и с ранними скриптами...
-
Корзину очищать не пробовали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Карзину почистил.... )
Ещё раз прошёл проверки
MBAM что нашлось полечил
ПРи загрузке всё равно блокируется панель задач и диски
прошу посодействоать...
-
Восстановление системы: включено
Если Вы на время лечения ПК не отключите восстановление системы, все наши усилия будут напрасными.
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(5);
Executerepair(6);
Executerepair(19);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 56
Клятвенно прошу прощения
читал раздел внимательно но не посмотрел что именно надо ВЫСТАВИТЬ флаг что бы вырубить восстановление
высылаю логи после лечения скриптом уже с выключенным востанвлением
Странно но после выполнения скрипта компутер не перегрузился хотя вроди в скрипте есть такая команда если я её правильно понял...
-
Сообщение от
penich
Странно но после выполнения скрипта компутер не перегрузился хотя вроди в скрипте есть такая команда если я её правильно понял...
Такое бывает, надо дождаться окончания выполнения скрипта. Бывает, что надо ждать около 3 мин.
В логах чисто, что с проблемой7
-
-
Junior Member
- Вес репутации
- 56
В настоящий момент потестирую компутер
Внешне по моему поведение такое же сохранилось
Настораживает то что бывает что блокировки панели задачи и дисков нет а потом перегрузишся - то есть .... ((
Обновлённый MBAM ничего не нашёл...
ПОпробую переставить дрова не компутер хотя на это мало надежды...
Выкладываю последние логи
-
В логах чисто.
Выполните следующее:
1. кнопка Пуск - Выполнить ввести cmd нажать Enter;
2. ввести chkdsk c: /f /r нажать Enter. Выскочит сообщение вида:"Невозможно выполнить команду chkdsk ......"
Нажмите клавишу Y;
3. введите exit затем нажать Enter;
4. перезагрузите ПК, во время перезагрузки будет выполнена проверка и исправление ошибок.
Рекомендую обновить, + установить последние обновления на ОС
-
-
Junior Member
- Вес репутации
- 56
Последние обновления были установлены заранее ещё до появления проблемы
чек диск я конечно запущу но мне всё же кажется что есть какая то проблема
Пачиму: как только запускается виндовс всё нормально панель задач работает и при наведении на кнопку ПУСК даже всплывает HINT c текстом
потом экран мерцает и всё = панель пуск замирает и дики после этого заблокированы
Мне кажеа что идёт просто блокирование панели через оконную процедуру + блокировка клавиатуры ...
как блокируются диски я не знаю...
Но так система работать не может из за кривых дров точно...
проводник всегда железно работал
-
Может, проблемы в "железе"? Какая температура процессора, харда? Питающие напряжения в пределах нормы?
-
-
Junior Member
- Вес репутации
- 56
Есть подозрение на железно но уже от безысходности
Например в Safe Mode компутер может поработать только 10 минут потом тупо выключается и всё
ПРи нормальной загрузке работает но блокируется панель...
Отдам комп товарищу наверное что бы отнёс проверить железо....
-
-