Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вирус:отключен деспетчер задач, не запускаются антивирусные проги (http://forum.oszone.net/showthread.php?t=232271)

not_bad 07-04-2012 13:24 1895089
Вирус:отключен деспетчер задач, не запускаются антивирусные проги
 
Привет всем. Схватил вирус: отключен деспетчер задач, не запускаются антивирусные программы(в том числе и AVZ) , не заходит на антивирусные сайты.

Воспользовался полиморфным авз и hijackthis

Warrior Kratos 07-04-2012 13:33 1895096
not_bad, Здравствуйте!!! Утилита RSIT запускается или нет?
Цитата:
Внимание !!! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы и переделайте лог AVZ. Нам нужен архив, а не текстовая его часть.

not_bad 07-04-2012 13:37 1895098
Вложений: 1
Утилита RSIT запускается

Warrior Kratos 07-04-2012 13:45 1895108
У Вас файловый вирус!
На чистой машине качаете Dr.Web LiveCD , записываете на DVD и сканируетесь на дефолтных настройках. Предварительно подключите флешки и другие сменные накопители, которые потенциально могут быть заражены.
Потом поновой скачиваете утилиты AVZ и RSIT и делаете ими логи!

not_bad 07-04-2012 13:46 1895109
Полиморфный авз не обновляется. и я не знаю где находятся его логи

Цитата:
Цитата Warrior Kratos
ашине качаете Dr.Web LiveCD »
У меня не заход на сайты антивирусов, будьте добры, скинуть зеркало)

Warrior Kratos 07-04-2012 13:48 1895114
Цитата:
Цитата not_bad
Полиморфный авз не обновляется. и я не знаю где находятся его логи »
Пост №4 выполняйте!

regist 07-04-2012 13:53 1895116
Цитата:
Цитата not_bad
У меня не заход на сайты антивирусов, будьте добры, скинуть зеркало) »
not_bad, скачивать надо на незаражённой машине, там же и записать на диск. Если скачаете на своей, то заразите этот образ ещё до того как запишите на диск.

not_bad, более подробно можете почитать здесь http://forum.oszone.net/post-1867330-10.html

Warrior Kratos 07-04-2012 13:55 1895120
Цитата:
Цитата not_bad
У меня не заход на сайты антивирусов, будьте добры, скинуть зеркало) »
выполнять надо
Цитата:
Цитата Warrior Kratos
На чистой машине »
!

not_bad 08-04-2012 10:31 1895498
Вложений: 1
Выполнил ваши инструкции с Dr.Web LiveCD: Деспетчер зароботал, но антивирусные программы и их сайты все еще заблокированы(

Warrior Kratos 08-04-2012 11:02 1895504
not_bad, а лог RSIT? :)

not_bad 08-04-2012 11:12 1895509
И еще virusinfo_cure не загрузился на ваш сайт т.к. размер: 7МБ

Warrior Kratos 08-04-2012 11:48 1895528
1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\pmklo.sys','');
 QuarantineFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe','');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe');
 if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221');
 DeleteFileMask('C:\DOCUME~1\9335~1\LOCALS~1\Temp','*.exe',false);
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
ExecuteWizard('SCU',2,3,true);
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

2.Также подготовьте лог SecurityCheck by screen317:

Скачайте SecurityCheck by screen317 или с зеркала и сохраните утилиту на Рабочем столе.

Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.

!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.

Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT.

not_bad 08-04-2012 12:04 1895539
Вот)

Warrior Kratos 08-04-2012 12:12 1895543
А RSIT?

Цитата:
Internet Explorer 7 Out of date!
Java(TM) 6 Update 6
Java version out of date!
Adobe Flash Player 10.3.183.5 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of date!
- Скачайте и установите Internet Explorer 8(даже если им не пользуетесь)
- Обновите Java до актуальной версии
- Обновите Adobe Flash Player до актуальной версии
- Обновите Adobe Reader до актуальной версии
- Cкачайте и установите все последние обновления для безопасности Windows

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe


Полиморфный AVZ у вас как назван? svchost.pif?

not_bad 08-04-2012 12:23 1895551
Я выполнил данный скрипт:
Цитата:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('abp470n5');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
Возможно ли мне после этого скрипта, выполнить ваш скрипт?
Цитата:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\pmklo.sys','');
QuarantineFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.e xe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.e xe');
if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221');
DeleteFileMask('C:\DOCUME~1\9335~1\LOCALS~1\Temp','*.exe',false);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
ExecuteWizard('SCU',2,3,true);
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
Цитата:
Цитата Warrior Kratos
Полиморфный AVZ у вас как назван? svchost.pif? »
Полиморфный АВЗ (да и обычную) удалил.
Скачал заново. Логи делал обновленным АВЗ

Warrior Kratos 08-04-2012 12:40 1895567
Цитата:
Цитата not_bad
Я выполнил данный скрипт: »
а где вы его взяли?
Цитата:
Цитата not_bad
Возможно ли мне после этого скрипта, выполнить ваш скрипт? »
нужно было выполнять только те рекомендации которые указываю я. А не от посторонних...

not_bad 08-04-2012 12:44 1895570
Спасибо Вам за помощь, все снова заработало) Очень благодарен Вам

thyrex 08-04-2012 12:44 1895572
Цитата:
Цитата Warrior Kratos
а где вы его взяли? »
Здесь http://virusinfo.info/showthread.php?t=118971 :)

not_bad 08-04-2012 12:49 1895581
Цитата:
Цитата thyrex
:sorry:

Вследствии повреждения системы, я не смог зайти на virusinfo.info (этот сайт, так же как антивирусные сайты блокировался), поэтом я обратился сюда.

Warrior Kratos 08-04-2012 12:51 1895587
not_bad, не надо было создавать темы на двух ресурсах... у вас что с проблемой?

not_bad 08-04-2012 12:54 1895589
Проблемы больше нет)
Цитата:
Цитата not_bad
Очень благодарен Вам »

Warrior Kratos 08-04-2012 12:58 1895594
Цитата:
Цитата not_bad
Проблемы больше нет) »
тем не менее вирусы у вас остались. Выполните мой скрипт. И приложите отчёты. Лог Combofix пока выполнять не надо.

not_bad 09-04-2012 12:44 1896168
Вот)

Warrior Kratos 09-04-2012 14:05 1896220
Потеряли логи RSIT.

not_bad 09-04-2012 18:25 1896473
Вложений: 1
Ага

Warrior Kratos 09-04-2012 18:31 1896476
not_bad, безопасный режим грузится?

thyrex 09-04-2012 20:01 1896529
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.

not_bad 10-04-2012 15:37 1897044
Выполнил) Спс


Время: 07:07.

Время: 07:07.
© OSzone.net 2001-