-
Junior Member
- Вес репутации
- 50
Проблема с открытием программ
С утра после загрузки компьютера перестал работать nod32, не запускается интернет через iexplorer, и самое главное выскакиваеи окошко для ввода пароля в сертификат вебмани, а запуск производил explorer.EXE . Просканировал в безопасном режиме используя Dr. Web CureIt! Удалилось пару вирусов. Затем эту же прогу запустил в обычном режиме нашелся еще один вирус, но не удалился. Потом в безопасном режиме (в режиме командной строки) запустил AVPTool и нашлось два вируса. Один в system32, а другой в автозагрузке. Оба вроде как удалились. И через пару перезагрузок, наконец, удалось через диспетчер запустить avz (до этого он не запускался). Интернет по прежнему не работает. Кстати при запуске программ, которые в итоге не запускались, на долю секунды окна появлялись. Система WinXPsp3, со всеми обновлениями. avz обновить не удалось.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('d:\downloads\sat\prox.exe');
QuarantineFile('d:\downloads\sat\prox.exe','');
QuarantineFile('C:\WINDOWS\system32\2139f7a.exe','');
QuarantineFile('C:\WINDOWS\system32\3be70c01.exe','');
QuarantineFile('C:\WINDOWS\system32\xxnmth.exe','');
QuarantineFile('csrss7.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\xqqlib.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\xqqlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll');
DeleteFile('C:\WINDOWS\system32\csrss7.dll');
DeleteFile('C:\WINDOWS\system32\xxnmth.exe');
DeleteFile('C:\WINDOWS\system32\3be70c01.exe');
DeleteFile('C:\WINDOWS\system32\2139f7a.exe');
DelBHO('1A6F66F8-04C0-414D-881B-91B2253C5960');
DelBHO('CEDE4FF1-FE77-415F-9458-867F9E8E7E3C');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
Все сделал по инструкции (почти), новые логи при запущенном и работающем nod32, не смог отключить, и первый лог был без запуска броузера.
Похоже, что все работает. Огромная благодарность. От такой чумы сам бы не избавился.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\btkrnbdg.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ST4200bda.sys','');
QuarantineFile('C:\WINDOWS\system32\rescuewin.exe','');
QuarantineFile('csrss7.dll','');
DeleteFile('csrss7.dll');
DeleteFile('C:\WINDOWS\system32\csrss7.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Csrss','DLLName');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 174.142.10.57:3128
Это сами прописывали?
-
-
Junior Member
- Вес репутации
- 50
Файл добавил
Нет, я этого вроде бы не прописывал. Этой зимой, когда Триколор объявил о запуске интернета со спутника, там какой-то адрес куда-то забивал, для vpn соединения. Но я это только попробовал, потом вроде удалил
-
Если уверены, что это не Ваше -
Пофиксите в hijackthis -
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 174.142.10.57:3128
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\rescuewin.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите лог virusinfo_syscure.zip
-
-
Junior Member
- Вес репутации
- 50
-
Плохого не вижу, что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
Тех проблем которые были, больше нет. Еще раз суперспасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\rescuewin.exe - Backdoor.Win32.IRCNite.azq ( DrWEB: Trojan.PWS.Banker.52838, BitDefender: Gen:Variant.Kazy.1545, AVAST4: Win32:Zbot-MVW [Trj] )
- c:\\windows\\system32\\xxnmth.exe - Backdoor.Win32.Shiz.aed ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.1502, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
-