Posmotrite logi, pls. Ne mogu daje perekluchit' raskladku klaviatury
Posmotrite logi, pls. Ne mogu daje perekluchit' raskladku klaviatury
Последний раз редактировалось mrHill; 15.06.2010 в 21:21.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); DeleteService('pibeelut'); DeleteService('tueag67ai5souau'); QuarantineFile('0000094F.sys',''); TerminateProcessByName('c:\windows\system32\wuaucldt.exe'); QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe',''); QuarantineFile('c:\documents and settings\admin\wuaucldt.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe,C:\Documents and Settings\Admin\Application Data\fxembk.exe,C:\Documents and Settings\Admin\Application Data\vuout.exe,C:\Documents and Settings\Admin\csrss.exe,explorer.exe,C:\Documents and Settings\Admin\Application Data\jlwcbb.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\zjexkuzbrps.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys',''); QuarantineFile('C:\WINDOWS\system32\zoodobousyv.exe',''); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); DeleteFile('c:\windows\system32\wuaucldt.exe'); DeleteFile('C:\WINDOWS\system32\zoodobousyv.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\zjexkuzbrps.sys'); DeleteFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe,C:\Documents and Settings\Admin\Application Data\fxembk.exe,C:\Documents and Settings\Admin\Application Data\vuout.exe,C:\Documents and Settings\Admin\csrss.exe,explorer.exe,C:\Documents and Settings\Admin\Application Data\jlwcbb.exe'); DeleteFile('c:\documents and settings\admin\wuaucldt.exe'); DeleteFile('c:\program files\internet explorer\wmpscfgs.exe'); DeleteFile('0000094F.sys'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe_Reader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman'); DeleteFileMask('%windir%\Tasks', 'At*.job', true); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(17); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После выполнения скрипта перестал грузиться в обычном режиме, вылетает в синий экран (IRGL_NOT_LESS_OR_EQUAL)
В безопасном режиме?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
в безопасном грузиться, а в обычном нет
Выполните рекомендации после скрипта из безопасного режима
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ок.
Добавлено через 17 минут
карантин отослал. Сейчас сделаю логи
Последний раз редактировалось mrHill; 07.05.2010 в 15:22. Причина: Добавлено
New log's
Последний раз редактировалось mrHill; 15.06.2010 в 21:21.
c:\windows\system32\drivers\cdrom.sys запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
В имена этих файлов вирус добавил лишние пробелы перед расширением. Удалите лишние пробелы и верните файлам их настоящие имена
Вполне возможно, что переключение языков заработаетКод:<pre> c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe c:\program files\BlazeVideo\BlazeDVD\mediadetector .exe c:\program files\Download Master\dmaster .exe c:\program files\ESET\ESET NOD32 Antivirus\egui .exe c:\program files\Realtek\InstallShield\azmixersel .exe c:\program files\VistaDriveIcon\vistadrv .exe c:\windows\system32\ctfmon .exe c:\windows\system32\hkcmd .exe c:\windows\system32\igfxpers .exe c:\windows\system32\igfxtray .exe </pre>
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\dedahikous.exe Driver:: xoib6k3yudo Folder:: Registry:: FileLook:: c:\windows\system32\drivers\cdrom.sys DirLook::
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
переключение раскладки клавиатуры заработало. Не удается заархивировать cdrom.sys - отказано в доступе
Выполните скрипт для ComboFix
Далее:
1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
2. Скопируйте c:\windows\system32\drivers\cdrom.sys в другую папку и переименуйте
3. Запакуйте переименованный файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин выслал
Ничего нового от Вас не получено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин virus.rar, в нем cdrom.sys
сейчас повторю
Добавлено через 1 минуту
извините, не обратил внимания, что разрешена загрузка только zip файлов. Сейчас повторю
Добавлено через 15 минут
отправил
Последний раз редактировалось mrHill; 07.05.2010 в 18:12. Причина: Добавлено
c:\windows\system32\drivers\cdrom.sys замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654
Сделайте еще раз лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новый лог
Последний раз редактировалось mrHill; 15.06.2010 в 21:21.
В логе плохого не видно
В нормальном режиме компьютер запускается?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В нормальном режиме запускается, только опять пропало переключение раскладки клавиатуры, языковой панели нет на панели задач. В настройках "языки и рег.стандарты" кнопка "языковая панель" не доступна.
Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Скачайте архив во вложении, распакуйте и внесите информацию в реестр (двойной клик левой кнопкой мыши + подтверждение)
Языковая панель появилась?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ok
Добавлено через 35 секунд
Сейчас выполню
Добавлено через 27 минут
Письмо отослал, ComboFix удалил. В архиве файk ctfmon[1]. Я понимаю так, что это exe файл?
Последний раз редактировалось mrHill; 08.05.2010 в 23:30. Причина: Добавлено
Уважаемый(ая) mrHill, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.