ПК загружается.. и просит активировать винду... но не активации не запуска не происходит, только картинка, нет ни пуск, не ярлычков, на Ct+Al+Del не реагирует. В безопасный режим загрузился, логи
пропал рабочий стол
ПК загружается.. и просит активировать винду... но не активации не запуска не происходит, только картинка, нет ни пуск, не ярлычков, на Ct+Al+Del не реагирует. В безопасный режим загрузился, логи
Последний раз редактировалось steel-prom; 10.08.2010 в 09:40.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
есть карантин
выполнил скриптФайл сохранён как 100802_091136_virus_4c565388ecbc2.zip
Размер файла 2868573
MD5 f3232d4e5d4c40032eaf2c01365f32b7
и пофиксил:Код:begin // SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); DeleteFile('C:\WINDOWS\system32\twex.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); DeleteFile('C:\WINDOWS\Installer\2b4a98.msi'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Код:O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\twex.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{2B967A21-4AFA-4273-AB11-D1478F45B326}: NameServer = 192.168.0.223 O20 - Winlogon Notify: crypt - crypts.dll (file missing)
Последний раз редактировалось PavelA; 04.08.2010 в 15:26.
логи rsit
Последний раз редактировалось steel-prom; 10.08.2010 в 09:40.
не смотря на то что винда была лицензионная, пропачив ее в безопасном режиме (активация) заработала нормально, рабочий стол восстановился, логи:
Последний раз редактировалось steel-prom; 10.08.2010 в 09:40.
лог комбо, все таки winlogon быт пропачен, толко вот кем?
Последний раз редактировалось steel-prom; 10.08.2010 в 09:40.
кто может сказать, что эта за строчка странная?
Код:S2 yvuabbumdf;yvuabbumdf;\??\c:\windows\system32\drivers\mrhneejze.sys --> c:\windows\system32\drivers\mrhneejze.sys [?]
Что сказать, закарантинь этот файл?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
скрипт выполню:
Добавлено через 6 минутКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); QuarantineFile('c:\windows\system32\drivers\mrhneejze.sys',''); QuarantineFile('c:\windows\system32\emptyregdb.dat',''); DelCLSID('14A21378-5BB1-4BC4-95D5-5D3F51527F6F'); DeleteFile('c:\windows\system32\emptyregdb.dat'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
и что там?
Файл сохранён как 100803_110407_virus_4c57bf67c7087.zip
Размер файла 10112
MD5 a8027626a160ef47dee5d03f3fcdfc77
Последний раз редактировалось PavelA; 03.08.2010 в 11:12. Причина: Крест за такое!!!
sys не попался. Скрипты аккуратнее пишите.
Добавлено через 33 секунды
- чистый.Сообщение от steel-prom
Последний раз редактировалось PavelA; 03.08.2010 в 11:15. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
нашел MBAMFiles Infected:
C:\Documents and Settings\Тюмень-1\DoctorWeb\Quarantine\A0012275.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Тюмень-1\DoctorWeb\Quarantine\MyCentriaUninstall.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Тюмень-1\Local Settings\temp\Uninstall.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
думаю тему можно закрыть, больше вроде не беспокоит ничего..
Установите на Windows Service Pack 3
(может потребоваться активация) и все последующие обновления отсюда.
Установите Internet Explorer 8.0
потом
- откройте файл ScanVuln.txt Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) steel-prom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
