-
Junior Member
- Вес репутации
- 50
Windows Security Alert, safe mode не работает
Добрый день!
Выскакивают сообщения о "заражении системы" Windows Security Alert, все время открывается Internet Explorer и заходит на antivirfox com, порносайты.
AVZ и HijackThis не запускаются, на компе стоит Доктор Веб, его обновление блокируется, но экспресс-проверка системы ДокторВебом запускается и никаких вирусов не находит.
Проделал все по пунктам, кроме проверки в режиме safe mode - этот режим не работает (сначала пишутся команды, а затем просто черный экран). Пришлось сделать полную проверку системы, скачав CureIt без safe mode.
AVZ и HijackThis смог запустить только выгрузив незнакомые процессы через Ctrl+Alt+Del.
Ctrl+Alt+Del работает в самом начале, затем через пару минут и он блокируется, если не выгружаю неизвестные мне процессы.
Интернет был заблокирован, но удалось это исправить, поменяв настройки подключения в браузере (Опера)
Последний раз редактировалось dm311; 01.08.2010 в 10:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\system32\pwdspio.sys','');
QuarantineFile('C:\WINDOWS\system32\pwdrvio.sys','');
QuarantineFile('C:\Documents and Settings\Dane Mo\Мои документы\Downloads\Dr.Web_6_v2\DrWebUpW.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Documents and Settings\Dane Mo\Local Settings\Application Data\tpjggtdri\ypgnrgdtssd.exe','');
DeleteFile('C:\Documents and Settings\Dane Mo\Local Settings\Application Data\tpjggtdri\ypgnrgdtssd.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Пофиксте в HijackThis строку:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:5643
-
-
Junior Member
- Вес репутации
- 50
-
Больше не видно ничего подозрительного. Проблема решена?
В AVZ меню - Файл - Восстановление системы - в строчке
10. Восстановление загрузки в Safe Mode
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер в режим safe mode. Получилось?
-
-
Junior Member
- Вес репутации
- 50
При выполнении задания AVZ выдал следующее:
Failed to create key SYSTEM\CurrentControlSet\SafeBoot\Minimal\AppMgmt
Safe Mode не работает
Последний раз редактировалось dm311; 01.08.2010 в 12:14.
-
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt');
ExecuteRepair(10);
end.
Было сообщение об ошибке?
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
AndreyKa
Выполните скрипт
Скрипт выполнен без ошибок
-
-
-
Junior Member
- Вес репутации
- 50
Попробовал 2 раза - не работает
-
SafeBootRepair - найдите утилиту, должна помочь.
http://www.hijackthis-forum.de/solut...pair-help.html
У Вас пароли могли на сторону уйти, надо менять.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
PavelA
SafeBootRepair - найдите утилиту, должна помочь.
сделал, не помогло
никакой safe mode не работает
Сообщение от
PavelA
У Вас пароли могли на сторону уйти, надо менять
в смысле почта и проч.?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 50
Занимался сменой паролей и вот только что появился значок в трее Antivir Solution Pro и через минуту снова сообщения о якобы вирусах. В-общем, ситуация опять повторяется.
Safe Mode не работает, поэтому не могу никак провести полную проверку системы прогой CureIt.
Что делать?
-
Далаем все логи как в первом сообщении.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 50
Последний раз редактировалось AndreyKa; 01.08.2010 в 18:53.
Причина: убрал карантин
-
Нужны логи, а не карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 50
Сделал все с самого начала следуя правилам.
Safe Mode не работает, поэтому CureIt запустил из нормального режима. CureIt сделал полную проверку и ничего не нашел.
После перезагрузки в самом начале появления рабочего стола жму Ctrl+Alt+Del и жду появление процесса xdqwanvtssd.exe, после чего его останавливаю. Только так AVZ и HijackThis запускаются.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Dane Mo\Local Settings\Application Data\gbttusacf\xdqwanvtssd.exe','');
DeleteFile('C:\Documents and Settings\Dane Mo\Local Settings\Application Data\gbttusacf\xdqwanvtssd.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kbgqsbuc');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kbgqsbuc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Выполнить:
Код:
begin
ExecuteRepair(10);
RebootWindows(true);
end.
Попробовать зайти в защищенный режим.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-