Поймал зверя Касперский перестал запкскаться из-за какой то политики, да и все проги тоже вылетают.AVZ не грузится. Удалось кое-как сделать лог HJ после чего комп сам выключился... Помогите!!!
Поймал зверя Касперский перестал запкскаться из-за какой то политики, да и все проги тоже вылетают.AVZ не грузится. Удалось кое-как сделать лог HJ после чего комп сам выключился... Помогите!!!
Без АВЗ дела на будет: http://virusinfo.info/showthread.php?t=61596
Нужно скачать образ LiveCD, в котором можно редактировать реестр. Например, ERD Commander. Потом последуют дальнейшие указания
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
to Rene-gad: cmd не хочет грузится вообще! промелькивает в пол секунды и все!
Сообщение №3 прочтите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скачал ERD Commander, записал на диск. Жду дальнейших указаний
1. Загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
веткапараметрКод:HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WindowsСодержимое этого параметра в своем сообщении напишитеКод:AppInit_DLLs
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
там прописано c:\winsp3\system32\nxm.dll
я так понял этот файл нужно удалить?
- Переименуйте этот файл
- Очистите значение параметра AppInit_DLLs
- Пробуйте загрузиться в обычном режиме, если получиться - сделайте комплект логов по правилам
Добавлено через 44 секунды
Пришлите переименованный файл c:\winsp3\system32\nxm.dll запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
Последний раз редактировалось polword; 25.05.2010 в 19:41. Причина: Добавлено
вот логи.
Последний раз редактировалось thyrex; 22.07.2011 в 11:09.
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Application Data\uxjj.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bcehnn.old 2nAKBMPANK',''); QuarantineFile('C:\WINSP3\system32\nxma.dll',''); QuarantineFile('C:\Documents and Settings\All Users.WINSP3\Application Data\Macromedia\SwUpdate\swupdate.dll.tmp',''); DeleteFile('C:\WINSP3\system32\nxma.dll'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bcehnn.old 2nAKBMPANK'); DeleteFile('C:\Documents and Settings\Admin\Application Data\uxjj.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(11); ExecuteRepair(17); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Пофиксите в Hijackthis:Сделайте новые логи по правиламКод:R3 - URLSearchHook: (no name) - - (no file) O15 - Trusted Zone: http://www.beonline.ru O15 - Trusted Zone: http://www.megafoncenter.ru O15 - Trusted Zone: http://www.megafondv.ru O15 - Trusted Zone: http://www.megafonkavkaz.ru O15 - Trusted Zone: http://sms.megafonmoscow.ru O15 - Trusted Zone: http://www.megafonnw.ru O15 - Trusted Zone: http://*.megafonsib.ru O15 - Trusted Zone: http://www.megafonural.ru O15 - Trusted Zone: http://www.megafonvolga.ru O15 - Trusted Zone: http://sms.mts.ru O15 - Trusted Zone: http://*.tele2.ru O20 - AppInit_DLLs: C:\WINSP3\system32\nxma.dll
Сделано! Но Касперский по прежнему не запускается, пишет "....из-за политики ограничения программного обеспечения...."
Последний раз редактировалось thyrex; 22.07.2011 в 11:09.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- сделайте лог Combofix
сделано! каспер загрузился
Последний раз редактировалось thyrex; 22.07.2011 в 11:10.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\winsp3\system32\adm.dll c:\winsp3\system32\kq.dll c:\winsp3\system32\klv.dll c:\winsp3\system32\dduzbgbn.dll c:\winsp3\system32\phzb.dll c:\winsp3\system32\urwozdbz.dll c:\winsp3\system32\vzquxxdy.dll c:\winsp3\system32\shhbj.dll Driver:: Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово. после комбофикса, Касперский перестал автоматически загружаться, приходится грузить его через ПУСК и Deamon tools тоже, пишет " для этого приложения нужна как минимум windows 2000...."
Последний раз редактировалось thyrex; 22.07.2011 в 11:11.
как быть?
Попробуйте просто переустановить антивирус и Daemon Tools
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\application data\uxjj.exe - Worm.Win32.AutoRun.bhvp ( DrWEB: Trojan.MulDrop.55658, AVAST4: Win32:Malware-gen )
- c:\winsp3\system32\nxma.dll - Packed.Win32.Krap.gx ( DrWEB: Trojan.Winlock.1678 )
- \nxma.dll - Packed.Win32.Krap.gx ( DrWEB: Trojan.Winlock.1678 )
Уважаемый(ая) Andrey1302, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.