-
Junior Member
- Вес репутации
- 52
Компьютер грузится только в защищённом режиме
Помогите пожалуйста компьютер перестал нормально загружатся. Машина используется как видеорегистратор, по этому виндоус переустанавливать очень не хочется. Грузится до ввода пароля пользоваптеля, далее "Загрузка личных параметров" и систама виснет. Все логи сделаны в защищённом режиме.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Евгений\csrss.exe','');
QuarantineFile('C:\Documents and Settings\Евгений\Application Data\nisgw.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SDDrv.sys','');
QuarantineFile('C:\DOCUME~1\F8AE~1\LOCALS~1\Temp\skffpngrk.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\vsztamkjuuq.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\osvvmfgtc.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ygigqhbwx.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\xiftaerlri.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\suxlztp.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\cnobdzmol.sys','');
DeleteService('zhdyihjm');
DeleteService('yuiqfgcthbkpjy');
DeleteService('sshoyptg');
DeleteService('qwnwcrdrerrlz');
DeleteService('pywisaurykci');
DeleteService('nfoylatgjwavudt');
DeleteService('jqywbnzwnjjb');
DeleteService('bkvgnznqfbfoc');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ydcybvtimg.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\cnobdzmol.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\suxlztp.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\xiftaerlri.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ygigqhbwx.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\osvvmfgtc.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\vsztamkjuuq.sys');
DeleteFile('C:\DOCUME~1\F8AE~1\LOCALS~1\Temp\skffpngrk.sys');
DeleteFile('C:\Documents and Settings\Евгений\Application Data\nisgw.exe');
DeleteFile('C:\Documents and Settings\Евгений\csrss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Попробуйте сделать логи в обычном режиме
-
-
Junior Member
- Вес репутации
- 52
Карантин выслал. Загрузился в обычном режиме(1 раз из 4 попыток машина зависла при выборе пользователя), логи прикрепил.
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Евгений\Application Data\nisgw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки, сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 52
Выполнил скрипт, компьютер перезагрузился, но завис на "загрузке личных параметров". После ресета загрузился, я сделал логи и еще его 2 раза перегружал для теста - загружается без проблем.
-
В логе чисто.
от автозапуска можете избавиться выполнивскрипт в AVZ
Код:
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Обновите систему иначе часто будетет ловить всяческих зверьков
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\евгений\application data\nisgw.exe - Backdoor.Win32.EggDrop.anu ( DrWEB: Trojan.Inject.8602, BitDefender: Trojan.Agent.Delf.RKX, AVAST4: Win32:Flot-E [Trj] )
- c:\documents and settings\евгений\csrss.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Rimecud.1 )
- c:\docume~1\f8ae~1\locals~1\temp\skffpngrk.sys - Backdoor.Win32.Agent.arme ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Rootkit.34429, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\9335~1\locals~1\temp\cnobdzmol.sys - Backdoor.Win32.Agent.arme ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Rootkit.34429, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\9335~1\locals~1\temp\osvvmfgtc.sys - Backdoor.Win32.Agent.arme ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Rootkit.34429, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\9335~1\locals~1\temp\suxlztp.sys - Backdoor.Win32.Agent.arme ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Rootkit.34429, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\9335~1\locals~1\temp\vsztamkjuuq.sys - Backdoor.Win32.Agent.arme ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Rootkit.34429, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\9335~1\locals~1\temp\xiftaerlri.sys - Backdoor.Win32.Agent.arme ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Rootkit.34429, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\9335~1\locals~1\temp\ygigqhbwx.sys - Backdoor.Win32.Agent.arme ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Rootkit.34429, AVAST4: Win32:Rootkit-gen [Rtk] )
-