-
Junior Member
- Вес репутации
- 53
Не запускается рабочий стол
Проблема в следующем. Компьютер не у меня, а у знакомой. XP Prof. Где-то что-то подцепила.
Висит экран приветствия и больше ничего. Через полминуты появляется wallpaper, но ни таскбара, ни рабочего стола нет. Ctrl+Alt+Del - в процессах висят два explorer.exe. Один убиваешь - винда продолжает грузиться. Долго бился почему два. В итоге нашел, что в HKCU (точный путь навскидку не спомню) в Shell была запись "explorer.exe,путь_до_какой-то_вирусни,explorer.exe". Строчку поправил до explorer.exe. Перезагрузился 4 раза - все отлично, комп грузится как надо. На пятый раз снова - "Приветствие" и замер. Ctrl+Alt+Del - explorer.exe в одном экземпляре. Убиваю его и запускаю через "Выполнить задачу..." - винда грузится.
Прогнал Cureit в защищенном режиме - что-то нашел. Прогнал MalwareBytes Antimalware - еще что-то нашел.
Что делать дальше - ума не приложу.
Сейчас попробовал снять логи с ее компа удаленно через mail.Агент (я руководил ее действиями). Вроде что-то получилось. Единственное, не отключали антивирус (eset 4 smart security) - для нее это непосильная задача . Посмотрел логи - снова вирусня. Откуда она нафиг берется?? Сейчас висит в файлах вида 680.exe из Temp-папки пользователя
Помогите, плиз. Два раза к ней уже ходил. У меня процент ремонтов компьютеров - близок к 100% за несколько лет, но тут такое, что волосы дыбом встают от исчерпавшихся мыслей.
Да, кстати, Avast был криво удален, поэтому в логах он еще присутствует (убить бы его до конца).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Очистите временные файлы IE через Свойства обозревателя.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z9V5JW34\u[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z9V5JW34\u[1].exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z9V5JW34\s[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z9V5JW34\s[1].exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\234T8NWT\u[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\234T8NWT\u[1].exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-2581271389-6672258508-414193846-8732\syscr.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
QuarantineFile('L:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\680.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\65076.exe','');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\65076.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\680.exe');
DeleteFile('L:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2581271389-6672258508-414193846-8732\syscr.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\aswSP.SYS');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFileMask( 'c:\docume~1\9335~1\locals~1\temp', '*.*',true);
DeleteFileMask( 'C:\Documents and Settings\Администратор\DoctorWeb\Quarantine', '*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('dozaaa3hb8a');
BC_DeleteSvc('Network Driver Interface');
BC_DeleteSvc('yua0uqco6etb');
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{472083B0-C522-11CF-8763-00608CC02F24}');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=91610).
Сделайте новые логи.
Последний раз редактировалось Bratez; 13.11.2010 в 16:17.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Выполнил. Через форму закачал случайно не тот файл (который получился после - Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты".). Он сохранился под именем:
Файл сохранён как 101113_150052_virusinfo_cure_4cde7df4b8542.zip
Размер файла 176777
MD5 db7ab0770eaf0cd71405116b60754754
Файл virus.zip :
Файл сохранён как 101113_160755_virus_4cde8dab6a120.zip
Размер файла 72126
MD5 edabbeab7bb7036adaa2d08ba1b7e7b2
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Если можно, то включите в скрипт удаление AVASTа, а то в логе видно, что он еще присутствует.
-
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\gitntiep.dll','');
DeleteFile('C:\WINDOWS\System32\gitntiep.dll');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('pudpwoq');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст.
Сделайте новые логи.
Сообщение от
oam333
он еще присутствует
В первом скрипте я удалял его драйвер aswSP.SYS, больше ничего не вижу.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
В общем не выдержал я. Так хотелось понять почему рабочий стол не загружается, но терпения не хватило. До конца почистил вирусню, поубивал все левое из драйверов, системных файлов, из реестра (на сколько осилил и на сколько хватило моих знаний) - признаков вирусов больше не обнаружено. Но рабочий стол так и не загружался (точнее загружался, но через 10-15 раз). Поставил SP3. Проблема ушла. Но осадок о том, что не узнал что же такое было, остался. Получилось, что SP3 - как пушкой по воробьям. Обидно.
-
Сообщение от
oam333
Получилось, что SP3 - как пушкой по воробьям.
Нет, SP3 - это в любом случае на пользу. И последующие обновления тоже ставьте, от этого зависит стабильность и защищенность вашей системы.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\ltzqai.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13166, BitDefender: Trojan.Generic.KDV.64114, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.fjq ( DrWEB: Trojan.Spambot.9106, BitDefender: Worm.Generic.295017, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Trojan-gen )
-