[решено] заблокированы некоторые функции windows

Farger · Отправлено: **00:14, 25-05-2011** | #2

Здравствуйте,

Сейчас посмотрю логи.

gorylev · Отправлено: **00:40, 25-05-2011** | #3

ожидаю

gorylev · Отправлено: **01:04, 25-05-2011** | #4

диспетчер опять сломали)

Farger · Отправлено: **01:13, 25-05-2011** | #5

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\smphost.exe');
TerminateProcessByName('c:\documents and settings\amun\application data\lsass.exe');
QuarantineFile('c:\windows\system32\smphost.exe','');
QuarantineFile('c:\documents and settings\amun\application data\lsass.exe','');
QuarantineFile(' C:\WINDOWS\UC.PIF','');
QuarantineFile(' C:\WINDOWS\RAR.PIF','');
QuarantineFile(' C:\WINDOWS\PKZIP.PIF','');
QuarantineFile(' C:\WINDOWS\PKUNZIP.PIF','');
QuarantineFile(' C:\WINDOWS\NOCLOSE.PIF','');
QuarantineFile(' C:\WINDOWS\LHA.PIF','');
QuarantineFile(' C:\WINDOWS\ARJ.PIF','');
DeleteFile('c:\documents and settings\amun\application data\lsass.exe');
 DeleteFile('c:\windows\system32\smphost.exe');
DeleteFile(' C:\WINDOWS\UC.PIF');
DeleteFile(' C:\WINDOWS\RAR.PIF');
DeleteFile(' C:\WINDOWS\PKZIP.PIF');
DeleteFile(' C:\WINDOWS\PKUNZIP.PIF');
DeleteFile(' C:\WINDOWS\NOCLOSE.PIF');
DeleteFile(' C:\WINDOWS\LHA.PIF');
DeleteFile(' C:\WINDOWS\ARJ.PIF');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smphost');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
DeleteFileMask('C:\Documents and Settings\amun\Application Data','Dat*.tmp.xsi', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT

Код:

 
	R3 - URLSearchHook: (no name) - - (no file)
	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\amun\Application Data\lsass.exe
	O1 - Hosts: 188.229.89.7 www.vkontakte.ru
	O1 - Hosts: 188.229.89.7 www.vk.com
	O1 - Hosts: 188.229.89.7 vkontakte.ru
	O1 - Hosts: 188.229.89.7 vk.com
O1 - Hosts: 188.229.89.7 www.odnoklassniki.ru
O1 - Hosts: 188.229.89.7 odnoklassniki.ru
	O4 - HKLM\..\Run: [smphost] %windir%\system32\smphost.exe
	O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ и RSIT

gorylev · Отправлено: **01:26, 25-05-2011** | #6

не дает выполнить скрипт, avz зависает

gorylev · Отправлено: **06:01, 25-05-2011** | #7

полечил cureit'ом, прилагаю новые логи

Farger · Отправлено: **10:08, 25-05-2011** | #8

Здравствуйте,

Попробуйте выполнить скрипт следующим образои:

1. Скопировать скрипт в блокнот:
Открыть меню файл - "сохранить как", в поле "имя файла" вставьте: C:\script.txt

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\smphost.exe','');
QuarantineFile('c:\documents and settings\amun\application data\lsass.exe','');
QuarantineFile('C:\WINDOWS\UC.PIF','');
QuarantineFile('C:\WINDOWS\RAR.PIF','');
QuarantineFile('C:\WINDOWS\PKZIP.PIF','');
QuarantineFile('C:\WINDOWS\PKUNZIP.PIF','');
QuarantineFile('C:\WINDOWS\NOCLOSE.PIF','');
QuarantineFile('C:\WINDOWS\LHA.PIF','');
QuarantineFile('C:\WINDOWS\ARJ.PIF','');
DeleteFile('c:\documents and settings\amun\application data\lsass.exe');
 DeleteFile('c:\windows\system32\smphost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smphost');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
DeleteFileMask('C:\Documents and Settings\amun\Application Data','Dat*.tmp.xsi', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

2. Перенесите папку с AVZ в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким:
C:\avz4\avz.exe

3. Скопировать код в блокнот, сохранить на рабочем столе под любым именем с расширением .vbs После сохранения запустите двойным кликом. Должен выгрузиться проводник (исчезнет рабочий стол) и запуститься на выполнение скрипт avz - script.txt.

Код:

set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "taskkill /f /im Explorer.exe", 0
WScript.Sleep 500
WshShell.Run "C:\avz4\avz.exe AM=Y script=C:\script.txt"

После окончания компьютер перезагрузится.

gorylev · Отправлено: **09:04, 26-05-2011** | #9

после лечения cureit'ом все вроде бы стало нормально, но теперь полетели браузеры firefox и opera, пришлось ставить вторую оперу, выполнил указанный скрипт в avz после чего пошел в HiJackThis фиксить указанные строки, большинства из них при скане не обнаружилось.... дальнейшие указания не выполнял

снова прилагаю свежие логи и рассчитываю на вашу помощь

Farger · Отправлено: **14:33, 26-05-2011** | #10

Пофиксить в HJT

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Цитата gorylev:

дальнейшие указания не выполнял »

Выполняйте (шаг №4 и №5)

C:\adult - что в папке?

C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe - этот файл вам знаком?

Файл C:\DOCUME~1\amun\LOCALS~1\Temp\GAS179B.tmp проверьте на virustotal и ссылку на результат запостите в вашем следующем сообщении.