Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] XP заблокирована вирусом, вход в систему через безопасный режим невозможен

Ответить
Настройки темы
[решено] XP заблокирована вирусом, вход в систему через безопасный режим невозможен

Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0


Конфигурация

Профиль | Отправить PM | Цитировать


Изменения
Автор: Kaban-keb
Дата: 23-01-2010
Описание: неполно
Доброго времени! Помогите решением проблемы:
Не могу войти в систему, после окна приветствия (Добро пожаловать) выскакивает окно, в котором предлагается отправить смс-сообщения для вставки ответного в окошко (и мнимого решения якобы имеющихся вирусов).
Через восстановление последней удачной конфигурации, режим отладки, безопасный режим, безопасный режим с загрузкой сетевых драйверов войти не могу. Безопасный режим с поддержкой командой строки загружается.
Ноутбук: HP Pavilion dv7 2130 er. 1 ОС: Windows Vista SP2, 2 ОС: Windows XP SP3 (проблемная). С Висты проверил весь компьютер через KAV 2010 - чисто. Также было замечено, что на 4 разделах диска появились скрытые файлы: md.exe и при его запуске Касперский выдаёт сообщение про работу вируса, а отчётах читаю: "легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя PDM.Trojan.generic критичность высокая, на карантине"
Также были изменены значки на 3 из 4 разделов, на классические жёлтые.
Заражение произошло ровно во время посещения сайта с пиратским софтом.

Отправлено: 16:28, 23-01-2010

 

Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать


Прикрепил

-------
-------
Временно на учёбе


Последний раз редактировалось Kaban-keb, 22-06-2010 в 17:11.


Отправлено: 13:49, 29-01-2010 | #31



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для E-mpty

Старожил


Автор проектов


Сообщения: 430
Благодарности: 122

Профиль | Отправить PM | Цитировать


Выполните скрипт:

Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('D:\WINDOWS\explorer.exe','');
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Temp\~DFE854.tmp','');
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Temp\~DFDAF9.tmp','');
 DeleteFile('D:\Documents and Settings\Admin\Local Settings\Temp\~DFDAF9.tmp');
 DeleteFile('D:\Documents and Settings\Admin\Local Settings\Temp\~DFE854.tmp');
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните следующий скрипт:
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
После вполнения срипта, в папке с программой АВЗ, сформируется архив quarantine.zip. Отправте карантин, на newvirus@kaspersky.com

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Это сообщение посчитали полезным следующие участники:

Отправлено: 15:56, 29-01-2010 | #32


Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать


После незапланированой командировки хотелось бы продолжить лечение. Выкладываю заново логи, т.к. в моё отсутствие на машине работали, и к тому же утилита CureIt нашла зловреда. Спасибо.

-------
-------
Временно на учёбе


Последний раз редактировалось Kaban-keb, 22-06-2010 в 17:11.


Отправлено: 13:00, 16-02-2010 | #33


Модератор


Moderator


Сообщения: 16855
Благодарности: 3248

Профиль | Сайт | Отправить PM | Цитировать


По логам заражения не вижу, может кто что скажет дополнительно
выполните скрипт AVZ
Код: Выделить весь код
begin
 ExecuteRepair(10);
 RebootWindows(true);
end.
Компьютер перезагрузится. Попробуйте войти в безопасный режим.
Скачайте MBAM, перейдите на вкладку Обновление, выполните обновление, выполните полное сканирование, лог сканирования сохраните и прикрепите к сообщению.
По проблемам:
Цитата:
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
Запустите AVZ, нажмите файл - Мастер поиска и устранения проблем выполните проверку, выделите найденные, нажмите "Устранить"

-------
При заполнении сведений о конфигурации компьютера не забудь поставить флажок: отображать - "Да"
-------------------------------------------------------------------------------------------
Ассоциация VirusNet - помощь и обучение борьбе с вирусами. Некоторые вопросы загрузки в моем блоге


Отправлено: 23:29, 19-02-2010 | #34


Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать


Скрипт выполнил, через AVZ устранил проблемы. Прикрепляю отчёт работы MBAM.

-------
-------
Временно на учёбе


Последний раз редактировалось Kaban-keb, 22-06-2010 в 17:11.


Отправлено: 18:51, 20-02-2010 | #35


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


Цитата kaban-keb:
Прикрепляю отчёт работы MBAM. »
В МБАм можете удалить всё кроме этих значений
Код: Выделить весь код
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
И будьте внимательны МБАМ не любит креки.
Всё что удаляете в МБАМ можно восстановить.

для удаления нужно повторить проверку и отметить нужное или наоборот снять галки.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 19:57, 20-02-2010 | #36


Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать


Всё , кроме указанных веток реестра удалено. Предполагаю, что лечение завершено, если так, ещё несколько вопросов:
- Будет ли утилита Malwarebytes Anti-Malware 1.44 работать на Висте и 7?
-
Цитата Pili:
В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов" (не забудьте после окончания лечения удалить драйвер AVZM) »
Как удалить драйвер (с помощью меню AVZ)?

- На второй, непроблемной Висте появились следующие папки: "$WINDOWS.~BT", "PerfLogs", "SWSetup", а также 2 файла: "msdia80.dll", и "PDOXUSRS.NET".
Кажется их не было, что делать с ними?

-------
-------
Временно на учёбе


Отправлено: 23:18, 20-02-2010 | #37


Модератор


Moderator


Сообщения: 16855
Благодарности: 3248

Профиль | Сайт | Отправить PM | Цитировать


Судя по вашему сообщению, проблем больше нет? Ответы на ваши вопросы
  • MBAM работает на Vista и 7 после установки.
  • запустите AVZ - AVZPM - "Удалить и выгрузить драйвер расширенного мониторинга"
  • папка "$WINDOWS.~BT" - остаток от начала установки Windows, насчет файлов - не знаю

-------
При заполнении сведений о конфигурации компьютера не забудь поставить флажок: отображать - "Да"
-------------------------------------------------------------------------------------------
Ассоциация VirusNet - помощь и обучение борьбе с вирусами. Некоторые вопросы загрузки в моем блоге


Отправлено: 23:24, 20-02-2010 | #38


Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать


Могу удалить "$WINDOWS.~BT" "SWSetup"?

-------
-------
Временно на учёбе


Отправлено: 23:31, 20-02-2010 | #39


Модератор


Moderator


Сообщения: 16855
Благодарности: 3248

Профиль | Сайт | Отправить PM | Цитировать


Насчет второй - не уверен, первую - можете.

-------
При заполнении сведений о конфигурации компьютера не забудь поставить флажок: отображать - "Да"
-------------------------------------------------------------------------------------------
Ассоциация VirusNet - помощь и обучение борьбе с вирусами. Некоторые вопросы загрузки в моем блоге


Отправлено: 23:45, 20-02-2010 | #40



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] XP заблокирована вирусом, вход в систему через безопасный режим невозможен

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Windows Server 2003 Enterprise SP1 вход в систему невозможен vovan07 Microsoft Windows NT/2000/2003 10 02-02-2009 19:00
Загрузка - [решено] Отключение входа через безопасный режим. Arronaks Microsoft Windows 2000/XP 2 10-12-2008 14:06
Загрузка - невозможно загрузиться через безопасный режим damir26 Microsoft Windows 2000/XP 1 20-05-2008 11:18
Как отключить обычному пользователю вход в "безопасный режим"? _alk0g0lik_ Microsoft Windows 2000/XP 4 27-08-2007 10:43
[решено] Как настроить безопасный вход в систему? KillHunter Microsoft Windows 2000/XP 3 23-08-2006 09:26




 
Переход