-
Junior Member
- Вес репутации
- 60
Загрузка только при отключенной проверки подписи
Vista home
после разблокировки банера требующего пополнения счета и последующей проверки нодом и авастом загрузить систему стало возможно только при F8 - "отключение обязательной проверки подписи драйверов", остальные варианты вызывают перезагрузку компьютера после появления указателя мыши .
при простое системы наблюдается большая активность дисковых операций.
avast6 при сканировании в режиме сканирования при загрузке вирусов не находит, но если подключить диск к другому компьютеру аваст находит вирус в pagefile.sys
Последний раз редактировалось Вадя; 16.02.2011 в 22:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=C:\windows\explorer.exe
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,"C:\Program Files\Def Group\PC Defender\pcdef.exe"
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Def Group\PC Defender\pcdef.exe');
QuarantineFile('C:\Program Files\Def Group\PC Defender\pcdef.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось Вадя; 16.02.2011 в 22:24.
-
Здесь плохого не видно. Ждем лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось Bratez; 17.02.2011 в 02:59.
-
Удалите в МВАМ
Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{93781A22-304B-45BA-9631-4BBE717DB074} (Rogue.PCDefender) -> No action taken.
Заражённые папки:
c:\program files\def group\pc defender (Rogue.PCDefender) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\pc defender (Rogue.PCDefender) -> No action taken.
c:\Windows\installer\{93781a22-304b-45ba-9631-4bbe717db074} (Rogue.PCDefender) -> No action taken.
Заражённые файлы:
c:\program files\def group\pc defender\Undo.ico (Rogue.PCDefender) -> No action taken.
c:\program files\def group\pc defender\uninstall.bat (Rogue.PCDefender) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\pc defender\pc defender.lnk (Rogue.PCDefender) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\pc defender\uninstall.lnk (Rogue.PCDefender) -> No action taken.
c:\Windows\installer\{93781a22-304b-45ba-9631-4bbe717db074}\_68a98ae28d82c6964b29f7.exe (Rogue.PCDefender) -> No action taken.
c:\Windows\installer\{93781a22-304b-45ba-9631-4bbe717db074}\_ebc3dcee202751bd84dde6.exe (Rogue.PCDefender) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
сделано, активность диска уменьшилась, но всё равно при простое есть.
загрузка осталась по прежнему - только при отключенной проверке подписи драйверов
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
сделано.
загрузка по прежнему, пропала языковая панель, не удаётся её восстановить, нет возможность перключить язык ввода (восстановлено - добавлено в загрузку CTFMON.EXE)
Последний раз редактировалось Вадя; 17.02.2011 в 21:20.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
программа RunScanner показала, что большинство файлов от ms не имеют подписи. Возможно ли сравнить со здоровой системой?
Autoruns во вкладке Sheduled Tasks показал файл QKVQGNSJJDWDOUBSBUW.bat такого содержания shutdown /r /f /t 0
его удаление не помогло
-
Удалите этот файл и его задание в Планировщике
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
-
Junior Member
- Вес репутации
- 60
сделал полный образ диска.
сделал восстановление системы с заводскими настройками (не переустановку) . создал юзера нового. создал юзера с прежним именем.
в его папку скопировалвсё содержимое из папки юзера из образа.
загрузка прроисходит до выбора пользователя.
если выбрать старого юзера - появляется "Добро пожаловать", потом "Завершение сеанса".
в безопасном режиме загружается под старым юзером нормально.
копирую ntuser.dat в папка с новым юзером - тож самое - "Добро пожаловать", потом "Завершение сеанса".
это, не есть правильный подход. но раз в безопасном режиме загрузилось, наверно, должно и в нормальном? что есть в реестре , что может вызывать "Завершение работы"?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
