|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Заблокирован доступ к свойствам папки, к редактору реестра и т.д. |
|
[решено] Заблокирован доступ к свойствам папки, к редактору реестра и т.д.
|
Новый участник Сообщения: 22 |
Профиль | Отправить PM | Цитировать
Вирус наделал много чего.
Заблокирован доступ к свойствам папки, к редактору реестра. avz, hijackthis запустились только после переименования exeшников Прошу помочь в востановлении системы |
|
Отправлено: 11:11, 03-06-2009 |
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать На время выполнения скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows
Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Alex\.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Documents and Settings\Alex\.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); RebootWindows(true); end. Выполнить скрипт в AVZ. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Пофиксить в HiJack (некоторых строчек может не быть) Сделайте новые логи |
------- Отправлено: 11:38, 03-06-2009 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать khs, Здравствуйте. Скрипт вам уже дали, поэтому дополню.
Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM Скачайте gmer со случайным именем файла(рекомендуется) здесь, либо gmer.zip здесь или здесь, закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора). После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Внимание! Если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов • Sections • IAT/EAT • Show all Включите AVZM (см. правила), очистите временные файлы и сделайте новый лог virusinfo_syscure.zip (3-й стандартный скрипт AVZ) |
------- Отправлено: 11:39, 03-06-2009 | #3 |
Новый участник Сообщения: 22
|
Профиль | Отправить PM | Цитировать Скрипты выполнил, в hijack пофиксил
По поводу файла карантина ответили: "В присланном Вами файле не найдено ничего вредоносного". Просканировал Anti-Malwar и gmer Включил AVZM Все логи прикрепил Проблемы вроде устранились, не знаю все ли |
Отправлено: 10:08, 04-06-2009 | #4 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать khs, лог hijackthis выложили старый. Проверьте ещё на всякий случай файл c:\windows\system32\atwtusb.exe на http://www.virustotal.com/ или http://virscan.org/
Если окажется чистым, то в логах ничего плохого. Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов и перезагрузите компьютер или выполните скрипт Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd Или сохраните текст ниже как gmer_del.bat sc delete gmer del %SystemRoot%\system32\drivers\gmer.sys del %SystemRoot%\gmer.dll del %SystemRoot%\gmer.exe del %SystemRoot%\gmer.ini del %SystemRoot%\gmer_uninstall.cmd pause Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Создайте новую контрольную точку восстановления и очистите предыдущие: - Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить - Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать Проблемы ещё наблюдаются? |
|
------- Отправлено: 10:43, 04-06-2009 | #5 |
Новый участник Сообщения: 22
|
Профиль | Отправить PM | Цитировать c:\windows\system32\atwtusb.exe проверил - чистый
временные файлы очистил Проблемы вроде исчезли, но при загрузке windows стало появляться окошко с непонятной кодировкой и кнопкой ОК. Нажимаю ОК, вроде ничего не происходит и windows загружается Выкладываю на всякий случай логи |
Отправлено: 07:11, 07-06-2009 | #6 |
Новый участник Сообщения: 22
|
Профиль | Отправить PM | Цитировать Вот такое вот окно вылазит на фоне Приветствия или Запуск Windows
Вылазит не всегда. |
Отправлено: 05:48, 08-06-2009 | #7 |
Новый участник Сообщения: 22
|
Профиль | Отправить PM | Цитировать Просканировал с помощью spybot, нашел несколько проблем, исправил. Но окно по прежнему вылазит, теперь уже на черном фоне (как на фото) перед экраном приветствие
|
Отправлено: 08:29, 08-06-2009 | #8 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать khs, в логах ничего плохого не вижу.
Попробуйте выполнить скрипт в AVZ begin ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(7); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); end. Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь и здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска. После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes. Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Как использовать ComboFix - how-to-use-combofix (на англ.яз.) Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list. Под строчкой Custom Scan вставьте netsvcs drivers32 Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению. |
------- Последний раз редактировалось Pili, 08-06-2009 в 13:53. Отправлено: 13:29, 08-06-2009 | #9 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
VPN - заблокирован доступ к сайтам домена | хирург | Сетевые технологии | 1 | 05-10-2009 11:01 | |
Доступ - Ограниченный пользователь. Доступ к свойствам Подключения по лок. сети | goover | Microsoft Windows 2000/XP | 0 | 19-04-2008 21:54 | |
[решено] Программа, запоминающая ветки реестра и папки для установки | Sparkster | Автоматическая установка приложений | 3 | 04-05-2007 01:57 | |
Компьютер заблокирован! Как получить доступ? | xsid | Microsoft Windows 2000/XP | 2 | 09-11-2006 13:56 | |
Доступ к методам и свойствам родителя | XCodeR | Вебмастеру | 13 | 05-11-2005 13:40 |
|