-
Junior Member
- Вес репутации
- 52
system tool
добрый день. при загрузке компа обои рабочего стола принимают вид: "warning! your're in danger! yor computer is infected with spyware!" и т.д. запускается system tool и сообщает о 38 вирусах. никакие программы не запускаются, появляется сообщение о том что этот файл инфицирован. в безопасном режиме запустил dr.web cureit он нашел несколько разновидностей trojan.pws, все благополучно удалил. но при перезагрузке в обычном режиме все так же как и было. восстановление системы отключено, dr.web от 18-11-10.
помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте логи по правилам.
Если не удается сделать это в обычном режиме - сделайте в безопасном.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
-
"Пофиксите" в HijackThis
Код:
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('crypts.dll','');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
QuarantineFile('C:\Documents and Settings\Loner\vpyu.exe','');
QuarantineFile('C:\WINDOWS\system32\ieframe.dll','');
QuarantineFile('C:\WINDOWS\system32\ntshrui.dll','');
QuarantineFile('C:\Documents and Settings\Loner\vpyu.exe','');
QuarantineFile('C:\Temp\PRVDISK.SYS','');
QuarantineFile('C:\Temp\PDFILTER.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SENTINEL.SYS','');
DeleteFile('C:\Temp\PDFILTER.SYS');
BC_DeleteSvc('PDFILTER');
DeleteFile('C:\Temp\PDRJNDL.SYS');
BC_DeleteSvc('PDRJNDL');
DeleteFile('C:\Temp\PRVDISK.SYS');
BC_DeleteSvc('PRVDISK');
DeleteFile('C:\Documents and Settings\Loner\vpyu.exe');
DeleteFile('C:\Documents and Settings\Loner\vpyu.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(21);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин вверху темы.
В настройках сетевого подключения пропишите адреса DNS-серверов, выданные вашим провайдером.
Повторите логи по правилам.
Добавлено через 4 минуты
И такой лог сделайте http://virusinfo.info/showthread.php?t=40118
Последний раз редактировалось light59; 18.11.2010 в 17:30.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
-
В AVZ
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gxvxcugwjcjqjotylhsyhyysskutvsadomtjs.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcntxkbuyehkihfkqliibuwdpdnixdaymf.sys','');
BC_Importquarantinelist;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин.
-
-
А также
Сохраните текст ниже как cleanup.bat в ту же папку, где находится bxehkxgi.exe (gmer)
Код:
bxehkxgi.exe -del service gxvxcserv.sys
bxehkxgi.exe -del file "c:\windows\system32\drivers\gxvxcntxkbuyehkihfkqliibuwdpdnixdaymf.sys"
bxehkxgi.exe -del file "c:\windows\system32\gxvxcugwjcjqjotylhsyhyysskutvsadomtjs.dll"
bxehkxgi.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys"
bxehkxgi.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys"
bxehkxgi.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
bxehkxgi.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
новый лог.
карантин тоже выслал.
комп ведет себя адекватно, никаких проблем пока не вижу больше.
-
-
-
Junior Member
- Вес репутации
- 52
спасибо за помощь, здорово выручили!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 23
- В ходе лечения вредоносные программы в карантинах не обнаружены
-