Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Вирус:отключен деспетчер задач, не запускаются антивирусные проги

Ответить
Настройки темы
Вирус:отключен деспетчер задач, не запускаются антивирусные проги

Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


Изменения
Автор: not_bad
Дата: 09-04-2012
Привет всем. Схватил вирус: отключен деспетчер задач, не запускаются антивирусные программы(в том числе и AVZ) , не заходит на антивирусные сайты.

Воспользовался полиморфным авз и hijackthis

Отправлено: 13:24, 07-04-2012

 

Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


И еще virusinfo_cure не загрузился на ваш сайт т.к. размер: 7МБ

Последний раз редактировалось not_bad, 09-04-2012 в 12:39. Причина: карантин запрещено присоединять


Отправлено: 11:12, 08-04-2012 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Warrior Kratos

Пользователь


Сообщения: 110
Благодарности: 35

Профиль | Отправить PM | Цитировать


1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код: Выделить весь код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\pmklo.sys','');
 QuarantineFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe','');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe');
 if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221');
 DeleteFileMask('C:\DOCUME~1\9335~1\LOCALS~1\Temp','*.exe',false);
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
ExecuteWizard('SCU',2,3,true);
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

2.Также подготовьте лог SecurityCheck by screen317:

Скачайте SecurityCheck by screen317 или с зеркала и сохраните утилиту на Рабочем столе.

Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.

!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.

Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT.

Последний раз редактировалось Warrior Kratos, 08-04-2012 в 12:16.

Это сообщение посчитали полезным следующие участники:

Отправлено: 11:48, 08-04-2012 | #12


Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


Вот)

Последний раз редактировалось not_bad, 09-04-2012 в 12:40.


Отправлено: 12:04, 08-04-2012 | #13


Аватара для Warrior Kratos

Пользователь


Сообщения: 110
Благодарности: 35

Профиль | Отправить PM | Цитировать


А RSIT?

Цитата:
Internet Explorer 7 Out of date!
Java(TM) 6 Update 6
Java version out of date!
Adobe Flash Player 10.3.183.5 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of date!
- Скачайте и установите Internet Explorer 8(даже если им не пользуетесь)
- Обновите Java до актуальной версии
- Обновите Adobe Flash Player до актуальной версии
- Обновите Adobe Reader до актуальной версии
- Cкачайте и установите все последние обновления для безопасности Windows

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe


Полиморфный AVZ у вас как назван? svchost.pif?

Последний раз редактировалось Warrior Kratos, 08-04-2012 в 12:18.


Отправлено: 12:12, 08-04-2012 | #14


Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


Я выполнил данный скрипт:
Цитата:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('abp470n5');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
Возможно ли мне после этого скрипта, выполнить ваш скрипт?
Цитата:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\pmklo.sys','');
QuarantineFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.e xe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.e xe');
if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221');
DeleteFileMask('C:\DOCUME~1\9335~1\LOCALS~1\Temp','*.exe',false);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
ExecuteWizard('SCU',2,3,true);
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
Цитата Warrior Kratos:
Полиморфный AVZ у вас как назван? svchost.pif? »
Полиморфный АВЗ (да и обычную) удалил.
Скачал заново. Логи делал обновленным АВЗ

Отправлено: 12:23, 08-04-2012 | #15


Аватара для Warrior Kratos

Пользователь


Сообщения: 110
Благодарности: 35

Профиль | Отправить PM | Цитировать


Цитата not_bad:
Я выполнил данный скрипт: »
а где вы его взяли?
Цитата not_bad:
Возможно ли мне после этого скрипта, выполнить ваш скрипт? »
нужно было выполнять только те рекомендации которые указываю я. А не от посторонних...
Это сообщение посчитали полезным следующие участники:

Отправлено: 12:40, 08-04-2012 | #16


Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


Спасибо Вам за помощь, все снова заработало) Очень благодарен Вам

Отправлено: 12:44, 08-04-2012 | #17


Странствующий хэлпер


Сообщения: 2242
Благодарности: 634

Профиль | Отправить PM | Цитировать


Цитата Warrior Kratos:
а где вы его взяли? »
Здесь http://virusinfo.info/showthread.php?t=118971

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 12:44, 08-04-2012 | #18


Новый участник


Сообщения: 17
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата thyrex:
Здесь http://virusinfo.info/showthread.php?t=118971 »


Вследствии повреждения системы, я не смог зайти на virusinfo.info (этот сайт, так же как антивирусные сайты блокировался), поэтом я обратился сюда.

Отправлено: 12:49, 08-04-2012 | #19


Аватара для Warrior Kratos

Пользователь


Сообщения: 110
Благодарности: 35

Профиль | Отправить PM | Цитировать


not_bad, не надо было создавать темы на двух ресурсах... у вас что с проблемой?
Это сообщение посчитали полезным следующие участники:

Отправлено: 12:51, 08-04-2012 | #20



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Вирус:отключен деспетчер задач, не запускаются антивирусные проги

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Не запускаются антивирусные программы DarkingCat Лечение систем от вредоносных программ 7 20-10-2010 16:55
[решено] Не запускаются антивирусные программы и утилиты. Kostyas Лечение систем от вредоносных программ 18 28-04-2010 23:46
[решено] Шпион, и Деспетчер Задач spawn Лечение систем от вредоносных программ 5 30-03-2010 13:37
Доступ - Не запускаются антивирусные программы alexataa Лечение систем от вредоносных программ 12 19-07-2009 18:03
Службы - отключен диспетчер задач SoA Microsoft Windows 2000/XP 3 11-10-2008 13:48




 
Переход