zedos Опубликовано 13 января, 2010 Опубликовано 13 января, 2010 Вчера заразился рабочий компьютер и сам перезагрузился. при этом работал регулярно обновляемый NIS 2008 (никаких сообщений не выдал). при загрузке просят тел.карту на 30грн. , прислать код на kscard@box.ru жмём OK, грузится IE с неприличными словами в заголовке, в трэе вместо часов красуется "радост*", права юзера порезаны, доступ есть только к диску Д., что либо запустить с командной строки невозможно avz и HijackThis запустились только после переименовывания запускающих файлов в "explore.exe". к интернету и локальной сети комп не подключается. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
rabbit Опубликовано 13 января, 2010 Опубликовано 13 января, 2010 обновляемый NIS 2008 а почему такой старый? на дворе уже НИС 2010
ТроПа Опубликовано 13 января, 2010 Опубликовано 13 января, 2010 1.Пофиксить в HijackThis следующие строчки O4 - HKCU\..\Policies\Explorer\Run: [2] iexplore.exe 2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(16); ExecuteRepair(17); ExecuteRepair(19); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Повторите логи.
zedos Опубликовано 13 января, 2010 Автор Опубликовано 13 января, 2010 1.Пофиксить в HijackThis следующие строчки O4 - HKCU\..\Policies\Explorer\Run: [2] iexplore.exe 2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(16); ExecuteRepair(17); ExecuteRepair(19); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Повторите логи. Сделал как Вы посоветовали и комп вроде стал работосппособным, из оставшихся неприятностей заметил следующее - при загрузке Винды по-прежнему всплывает сообщение с требованием отправить код пополнения счета; - на диске С: визуально не наблюдается папка "Windows"( в т.ч. среди скрытых), хотя судя по работе АВЗ4 он ее таки проверяет и видит 4 подозрительных файла в папке Инсталлер в Винде; - На диске D: появились два файла по 512 мбт с именами ".fuse_hidden0000000200000001" и ".fuse_hidden0000000200000002"; - На диске С: в корне есть файл которого раньше вроде как не было "IM200911.fls" - не подключаются флешки; - у картинки на рабочем столе виден только правый верхний ее угол, такое впечатление, что картинку сместили по диагонали влево вниз. Я не умею читать скрипты, но может тут есть чтото полезное, там аналогичная проблема была http://virusinfo.info/showthread.php?t=52095 virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
ТроПа Опубликовано 13 января, 2010 Опубликовано 13 января, 2010 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SetAVZPMStatus(True); ExecuteWizard('TSW', 2, 2, true); RegKeyStrParamWrite('HKCU', 'Control Panel\International', 'sTimeFormat', 'H:mm:ss'); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Повторите логи АВЗ. IM200911.fls - проверьте на virustotal.com и дайте ссылку на результат проверки.
zedos Опубликовано 14 января, 2010 Автор Опубликовано 14 января, 2010 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SetAVZPMStatus(True); ExecuteWizard('TSW', 2, 2, true); RegKeyStrParamWrite('HKCU', 'Control Panel\International', 'sTimeFormat', 'H:mm:ss'); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Повторите логи АВЗ. IM200911.fls - проверьте на virustotal.com и дайте ссылку на результат проверки. Обьявление о требовании денег исчезло. По прежнему остаются баги - на диске С: визуально не наблюдается папка "Windows"( в т.ч. среди скрытых), хотя судя по работе АВЗ4 он ее таки проверяет и видит 4 подозрительных файла в папке Инсталлер в Винде; - не подключаются флешки; - у картинки на рабочем столе виден только правый верхний ее угол, такое впечатление, что картинку сместили по диагонали влево вниз. в файле "IM200911.fls" указанный вами сайт вирусов не нашел. http://www.virustotal.com/ru/analisis/f995...f74d-1263479236 virusinfo_syscheck.zip virusinfo_syscure.zip
akoK Опубликовано 15 января, 2010 Опубликовано 15 января, 2010 Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
zedos Опубликовано 15 января, 2010 Автор Опубликовано 15 января, 2010 Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Программа нашла какието вирусы и все их удалила, однако это никак не повлияло на вышеописанные мною баги. Отчет прилагается. Флешки в оборудованиях светятся с желтым знаком. в сведениях записано "Драйвер для этого устройства был отключен. Возможно, необходимые функции исполняет другой драйвер. (Код 32)" обновление драйвера через инет пишет что более подходящий драйвер чем тот что установлен не найден. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log mbam_log_2010_01_15__14_23_07_.txt
snifer67 Опубликовано 15 января, 2010 Опубликовано 15 января, 2010 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
zedos Опубликовано 15 января, 2010 Автор Опубликовано 15 января, 2010 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Папка Винды видна, флешки подключились после предварительного их удаления в устройствах. Огромное спасибо всем кто помогал, отдельное спасибо ТроПа за то что первый откликнулся и привел комп в чувство. Остался (из замеченных мной) глюк с картинкой на рабочем столе. картинка по прежнему сильно сдвинута влево вниз (виден только верхний правый ее угол (прим 20%), если кто знает как это подправить буду признателен. скорее всего это гдето в настройках регулируется.. К сообщению прикрепляю отчет Комбофикса, единственное что из него понял c:\windows\system32\winlogon.exe . . . is infected! но пока не понял как это влияет на работу компа. log.rar
snifer67 Опубликовано 16 января, 2010 Опубликовано 16 января, 2010 Выполните скрипт в avz begin ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end. ПК перезагрузится. Что с проблемой ?
akoK Опубликовано 16 января, 2010 Опубликовано 16 января, 2010 c:\windows\system32\winlogon.exe - проверьте на VT о результате сообщите. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\windows\system32\winlogon.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма
zedos Опубликовано 18 января, 2010 Автор Опубликовано 18 января, 2010 Строгое предупреждение от модератора ТроПа Не стит писать пост только из цитаты
leon99 Опубликовано 27 апреля, 2010 Опубликовано 27 апреля, 2010 У меня такая же проблема с компом но только просит прислать 30 грн. на адрес kscard@box.az. ! Как решить проблему я в принципе понял! Вот только у меня возник такой вопрос: каким образом запустить АВЗ или HiJackThis если эта хрень блокирует доступ ко всему! И как я смогу отключить антивир Касперского если он у меня исчез с панели задач! ? Пожалуйста ПОМОГИТЕ или РАСТОЛКУЙТЕ ! Ну очень надо комп полетел на РАБОТЕ! Заранее всем ОГРОМНОЕ СПАСИБО!
apq Опубликовано 27 апреля, 2010 Опубликовано 27 апреля, 2010 (изменено) leon99, вам лучше создать новую тему Изменено 27 апреля, 2010 пользователем apq
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти