Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Вирус заблокировал все антивирусы и меню Пуск (заявка № 86501)

  1. #1
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27

    Thumbs up Вирус заблокировал все антивирусы и меню Пуск

    Добрый день! Помогите пожалуйста с проблемой.
    Windows XP, Service Pack 3. IE 7, NOD32
    Вирус не дает открыть AVZ, Hijack, kidokiller даже папочки с именем AVZ сразу закрывает, так же как и поисковики с буквами AVZ. Перименование тоже не дает никакого эффекта. Через каждые минут 5-10 вылазиет меню Пуск с предложением выключить компьютер. Кнопка в меню Пуск - Выполнить тоже не работает, сворачивается мгновенно. Работает только Cureit.exe, но он нашел только один вирус в формате pdf. Все это происходит под пользователем с правами Администратора, под вторым пользователем без прав все ок, где я и обновил успешно AVZ и Cureit и зашел на нужные сайты. Но под админом все глухо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Давайте попробуем сделать так:
    - скачайте AVPtool
    - установите и запустите его
    - откройте вкладку Ручное лечение
    - Нажмите кнопку «Сбор информации о системе».
    - создавшийся лог прикрепите к новому сообщению

  4. #3
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27
    Скачал, но он не устанавливается. Под одним пользователем требует права админа, а под админом на выборе языков - вылетает.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
    2.Загрузитесь с этого диска.
    3.Кнопка Пуск - Выполнить - erdregedit
    4.Посмотрите в реестре:
    ветка
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    userinit
    параметр
    shell
    Содержимое этих параметров напишите в своем сообщении

  6. #5
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27
    Все сделал
    параметр userinit
    c:\windows\system32\userinit.exe,\\?\globalroot\sy stemroot\system32\pivbepj.exe,\\?\globalroot\syste mroot\system32\2hmxdje.exe,\\?\globalroot\systemro ot\system32\zbzj6cw.exe,\\?\globalroot\systemroot\ system32\w47xkm0.exe,

    параметр shell
    Explorer.exe, C:\Program Files\Common Files\UniCam SoftWare\svhost.exe

    Папочек winlogon оказалось 2 штуки. Одна с большой буквы другая с маленькой в ней только параметр shell. Информация по userinit и shell взята из первой папки.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Придаем такой вид

    параметр userinit
    c:\windows\system32\userinit.exe,

    параметр shell
    Explorer.exe

    Цитата Сообщение от JohnBerk Посмотреть сообщение
    другая с маленькой в ней только параметр shell
    Эту "папку" удаляем

    Пробуем подготовить логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27
    Все сделал как сказали.
    Антивирусы заработали. AVZ открылся и успешно обновился.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Дальше
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пробуем подготовить логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27
    Готово

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Admin\DoctorWeb\Quarantine\sfcfiles.dll','');
    QuarantineFile('C:\Program Files\Common Files\UniCam SoftWare\svhost.exe','');
    DeleteFile('C:\Program Files\Common Files\UniCam SoftWare\svhost.exe');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\1208.exe','');
     DeleteFile('C:\WINDOWS\system32\1208.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Смените все пароли

    Сделайте новые логи

    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27
    Логи

  13. #12
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27
    RSIT

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Пофиксите в HiJack
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3B088638-4162-456E-94D2-4AFFE6F769DB}: NameServer = 188.92.73.123,188.92.73.124
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8636A2D5-C98B-4F45-BD94-3DB96CEE0628}: NameServer = 188.92.73.123,188.92.73.124
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A76D16AE-301C-4C81-8638-834ACD4DAD67}: NameServer = 188.92.73.123,188.92.73.124
    В исключениях брандмауэра удалите записи о
    Код:
    "C:\DOCUME~1\Admin\LOCALS~1\Temp\460D.tmp"="C:\DOCUME~1\Admin\LOCALS~1\Temp\460D.tmp:*:Enabled:RASS Server"
    "C:\DOCUME~1\Admin\LOCALS~1\Temp\464C.exe"="C:\DOCUME~1\Admin\LOCALS~1\Temp\464C.exe:*:Enabled:Microsoft Windows Update Platform"
    "C:\DOCUME~1\Admin\LOCALS~1\Temp\4A4D.tmp"="C:\DOCUME~1\Admin\LOCALS~1\Temp\4A4D.tmp:*:Enabled:RASS Server"
    "C:\DOCUME~1\Admin\LOCALS~1\Temp\1E8B.tmp"="C:\DOCUME~1\Admin\LOCALS~1\Temp\1E8B.tmp:*:Enabled:RASS Server"
    "C:\DOCUME~1\Admin\LOCALS~1\Temp\22AC.exe"="C:\DOCUME~1\Admin\LOCALS~1\Temp\22AC.exe:*:Enabled:Microsoft Windows Update Platform"
    "C:\DOCUME~1\Admin\LOCALS~1\Temp\256A.exe"="C:\DOCUME~1\Admin\LOCALS~1\Temp\256A.exe:*:Enabled:Microsoft Windows Update Platform"
    "C:\DOCUME~1\Admin\LOCALS~1\Temp\2683.exe"="C:\DOCUME~1\Admin\LOCALS~1\Temp\2683.exe:*:Enabled:Microsoft Windows Update Platform"
    "C:\DOCUME~1\Admin\LOCALS~1\Temp\1208.exe"="C:\DOCUME~1\Admin\LOCALS~1\Temp\1208.exe:*:Enabled:Microsoft Windows Update Platform"
    Файл C:\Program Files\Common Files\keylog.txt и скрытую папку C:\WINDOWS\system32\lowsec удалите вручную

    Выполните скрипт в AVZ
    Код:
    begin
    BC_DeleteSvc('sfc');
    BC_DeleteSvcReg('sfc');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27
    C:\Program Files\Common Files\keylog.txt удалил,
    C:\WINDOWS\system32\lowsec этой папки при отображении скрытых папок и файлов нет (не обнаружил).
    В брандмауэре на закладке Исключения указаных файлов нет. В самой папке C:\DOCUME~1\Admin\LOCALS~1\Temp\460D.tmp..... их тоже не нашел.

    thyrex подскажите пожалуйста, что не правильно делаю?

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Цитата Сообщение от JohnBerk Посмотреть сообщение
    C:\WINDOWS\system32\lowsec этой папки при отображении скрытых папок и файлов нет (не обнаружил).
    Сделайте лог полного сканирования МВАМ

    Цитата Сообщение от JohnBerk Посмотреть сообщение
    В брандмауэре на закладке Исключения указаных файлов нет.
    Посмотрите ветку реестра
    Код:
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27
    направляю mbam-отчет

    p.s. заданные файлы по указанному пути в реестре удалил

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\javacpl (Spyware.Banker) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    
    Зараженные папки:
    C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00001.dta (Adware.TMAagent) -> No action taken.
    C:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.
    C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    C:\Documents and Settings\Admin\Local Settings\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.

    -Выполните скрипт в AVZ
    Код:
    begin
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Program Files\Java\jre1.6.0_07\bin\java.exe ','');
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  19. #18
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27
    Лог mbam после удаления ключей, папок, файлов.

  20. #19
    Junior Member Репутация
    Регистрация
    27.08.2010
    Сообщений
    14
    Вес репутации
    27
    На загрузку карантина пишет ошибку "Такой файл уже был загружен". Поменял имя на quarantine1.zip - пишет тоже самое.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .
    - поставте Adobe Reader 9.3 или удалите старый.

  • Уважаемый(ая) JohnBerk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирус заблокировал меню Пуск.
      От lysav в разделе Помогите!
      Ответов: 31
      Последнее сообщение: 31.07.2012, 18:32
    2. Вирус заблокировал все антивирусы.
      От Bassa в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 15.11.2010, 22:06
    3. Ответов: 7
      Последнее сообщение: 20.06.2009, 17:27
    4. Вирус заблокировал антивирусы
      От Shredinger в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.07.2008, 22:22
    5. Ответов: 8
      Последнее сообщение: 17.07.2008, 02:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01231 seconds with 16 queries