-
Junior Member
- Вес репутации
- 51
Баннер на номер 3381 с кодом M201017583
Заблокировал почти все что только можно.
AVPTool CureIt AVZ не работают. (выкидывает или зависает даже при попытке просто зайти в папку с ними)
Не могу отключить восстановление системы, в свойствах "Мой компьютер" отсутствует эта графа... не знаю как так.
Regedit.exe не запускается т.е. в ручную тоже не отключить.
Скачал Kaspersky Rescue Disk 10 , записал на cd , не работает.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нужен LiveCD с возможностью поиска и правки исправления в реестре. Например, ERD Commander
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Ок.
Скачал, записал, запустил. Вроде работает. (Winternals ERD Commander 2005)
Что делать дальше?
-
Пуск - Выполнить - erdregedit
Посмотрите в реестре:
ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр Содержимое этого параметра в своем сообщении напишите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Да, есть такой, лежит в C:/WINDOWS/system32
Чем его открывать? В блокноте иероглифы какие то...
Или вам нужно название самого файла?
C:/WINDOWS/system32/gpeojqs.dll
Последний раз редактировалось suharev; 20.05.2010 в 21:39.
-
Выполнять из LiveCD
1. Переименовать этот файл
2. Очистить параметр AppInit_DLLs
3. Пробуйте загружаться обычным способом
Если баннер пропал, выполняйте правила + делайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Ок, баннер пропал!
Но по прежнему заблокирован диспетчер задач, Regedit.exe и восстановление системы, я даже не знаю включено оно у меня вообще или выключено...
(в безопасном режиме не работает, пишет что то про групповую политику и администратора домена)
после запуска ComboFix лог по адресу: C:\ComboFix.txt не появился.
-
Сообщение от
suharev
после запуска ComboFix лог по адресу: C:\ComboFix.txt не появился.
Ошибки выдавались какие? Попробуйте еще раз сделать
Переименованный файл запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\gpeojqs.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\WINDOWS\System32\XDkHD7qg.exe','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\System32\sdra64.exe','');
QuarantineFile('C:\Documents and Settings\Саша\txwt.exe','');
DeleteFile('C:\Documents and Settings\Саша\txwt.exe');
DeleteFile('C:\WINDOWS\System32\sdra64.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\System32\XDkHD7qg.exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
DeleteFileMask('%windir%\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Переименованный файл: C:/WINDOWS/system32/gpeojqs.dll не могу найти.
100% помню новое название которое ему дал, искал через поиск и вручную, его нету.
С ComboFix разобрался, лог прикрепил снизу.
Quarantine из папки AVZ в архиве zip с паролем virus прислал.
Диспетчер задач, восстановление системы и Regedit.exe работают.
Regedit скинул с другого компьютера (посоветовал мне это сделать ComboFix, после чего тоже заработал)
Cтарый Regedit был сломан, не знаю чем.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\ufenru.dll
c:\windows\system32\hzhzhz.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
hzhzhz тот самый переименованный файл.
Сделал как вы показали, вот лог :
-
Чисто.
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Спасибо!
Карантин отправил, сейчас займусь установкой сп3 и т.д.
-
Карантин получен. Спасибо
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\~.exe - Trojan-Spy.Win32.Zbot.roh ( DrWEB: Trojan.PWS.Panda.22, BitDefender: Backdoor.Bot.91981, AVAST4: Win32:Zbot-APD [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-