Xenon Опубликовано 28 января, 2010 Опубликовано 28 января, 2010 (изменено) У знакомого вылазит как будто окно антивируса Internet Security и якобы находит множество вирусов. Предлагает за СМС лечение: код а512015000 на номер 4460. Пробовали вводить код разблокировки с генераторов кодов - не помогает. Блокирует доступ к реестру и Диспетчеру задач и в Безопасном режиме тоже! Блокирует работу антивирей, AVZ и др. Либо просто блокирует, либо перезагруз. Удалось запуститься с ЛайвСД со Зверевской сборки. Со своей флешки запустил AVZ и выполнил по очереди стандартные скрипты 3 и 2. Hijack сделал лог. На всякий случай в AVZ сделал Файл-Восстановление системы-Все пункты кроме двух последних! Ничего не помогает. Правда из автозапуска удалось убрать что-то с названием в виде квадратиков каких-то и зловред стал выскакивать не сразу, а только при попытке запуска прог. Даже в Безопасном режиме при попытке скопировать с моей флешки не пропускает ни avz4, ни Dr.Web CureIt, ни Kaspersky® Virus Removal Tool, ни ProcessExp11.33rus_Portable, ни CCleaner_Portable... Чистил от кукис, Временные файлы инета, папку Темп. Прилагаю логи - жду помощи. Очень нужно! Кстати почему-то блокнота нет у него а какой-то ВордПад... WindowsXP SP2 от SamLAb Изменено 28 января, 2010 пользователем Xenon
TypucT-cheb Опубликовано 29 января, 2010 Опубликовано 29 января, 2010 (изменено) Первым делом загружаетесь в БИОСе (клавиша DEL при загрузке компьютера). Выставляете дату 23.01.2010, время 04:30 утра (примерно). Сохраняете настройки и перезагружаетесь. При загрузке снова запустится окно вируса. Вводите код: UG686632. Через пару минут компьютер самостоятельно должен уйти в перезагрузку. После перезагрузки окно пропадет. Антивирус запустится. Но диспетчер задач все равно заблокирован, и многие программы не запускаются, система тормозит. Проверьте на вирусы всю систему (полная проверка). Лучше даже скачать Ad Aware 8.1.2, обновить и проверить всю систему. Все хвосты вируса найдутся и удалятся. Если все вышеописанное не помогло, то качайте DrWeb LiveCD образ, пишите на диск на здоровом компьютере и запускайте больной компьютер с него. Ставьте полную проверку жесткого диска, т.е. всех дисков - C,D,E - и иже с ними (у меня проверка только диска С:\ помогла лишь частично - обрубилисьь концы быстрого запуска вируса, система начала ругаться на отсутствующую левую DLL, но через некоторое время вирус снова запускался, - значит существовала копия где-то на других разделах жесткого диска.) Изменено 29 января, 2010 пользователем TypucT-cheb
Xenon Опубликовано 29 января, 2010 Автор Опубликовано 29 января, 2010 Пролечитесь с Лайф сиди. пробовали - не помогло Скачал-нарезал Kaspersky Rescue LiveCD, сегодня поеду пробовать TypucT-cheb, спасибо, заодно и твоим способом попробуем
zzzzaya Опубликовано 29 января, 2010 Опубликовано 29 января, 2010 (изменено) попробуйте Пуск=Выполнить= gpedit.msc Для реестра. В появившемся окне: Конфигурация пользователя=Административные шаблоны=Система, справа выбрать "Сделать недоступными средства редактирования реестра", править на "Отключено". Для Касперского. Конфигурация компьютера=Конфигурация Виндоус=Параметры безопасности=Политики ограниченного использования программ, там должно быть написано, что политик нет. Вверху окна выберите Действие=Создать политики, появятся папочки. Выбираем "Дополнительные правила". Потом Действие=Создать правило для пути. Прописываете путь к папке с файлом Касперского, ставите Уровень безопасности Неограниченно. или Для отмены "политики ограничения" в реестре (если он у вас открывается) "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths" удалите все подветки, значения параметров которых ссылаются на директории и файлы с антивирусом Касперского. После этого перезагрузите компьютер. Изменено 29 января, 2010 пользователем zzzzaya
ТроПа Опубликовано 29 января, 2010 Опубликовано 29 января, 2010 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('X:\autorun.exe',''); DeleteFile('X:\autorun.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Повторите логи.
Xenon Опубликовано 29 января, 2010 Автор Опубликовано 29 января, 2010 (изменено) TypucT-cheb, по телефону товарисЧу подсказал что сделать - фокус не удался, код не принял. zzzzaya, не пускает к gpedit.msc, и к политикам тоже. Антивирь стоит Аваст. ТроПа, соединение с инетом у него запускается, но при запуске любого браузера вылезает окно во весь экран практически... Диск Х - это не привод ли ДВДРОМ где диск с Лайвом? Кстати, при попытке АВЗ скрипта 3, проскакивало типа: Отменено пользователем. Вобщем как доберусь до него, попробую выполнить предложенные скрипты... 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('X:\autorun.exe',''); DeleteFile('X:\autorun.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. При выполнении ошибки выскакивают: expecd в позиции 3:22 и типа того AVZ запускали с диска D, а комп загружен с ЛайвСД. Скрипт я продиктовал по телефону и чел создал сначала в АкелПад (проверили 2 раза правильность) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Повторите логи. в этом скрипте не пропущена буква а? CreateQuаrantineArchive(GetAVZDirectory+'quarantine.zip'); Kaspersky Rescue LiveCD не помог ПРОБЛЕМА РЕШЕНА полным сносом и переустановкой винды. Спасибо всем за помощь. Изменено 29 января, 2010 пользователем Xenon
AlexNEW Опубликовано 30 января, 2010 Опубликовано 30 января, 2010 в этом скрипте не пропущена буква а? CreateQuаrantineArchive(GetAVZDirectory+'quarantine.zip'); Нет, скрипт нормальный....
Mirazhik74 Опубликовано 30 января, 2010 Опубликовано 30 января, 2010 вообщем удалял похожего вредителя. тоже internet security (красное оформление окна, тоже поиск якобы вирусов) удаление было ручками. действия такие лайф сд barte pe с касперским 7 версии и свежие базы. сканирование всего компа. нашлось около 30 штук далее перезагрузка в сэйф моде с поддержкой коммандной строки в коммандной строке пишем reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f (редактирование реестра включить) далее по списку исправить userinit и диспечер. так же зловред запускает explorer.exe с параметром (расскажите как этот параметр убрать через коммандную строку) в коммандной строке пишем msconfig (или другие редакторы автозапуска) и удаляем всякую чушь что там прописалось. так же советую в диспечере убить вспомогательные процессы зловреда (они будут видны в диспечере). после установка антивируса (не нод.... нод это дело пропустил) и полное сканирование! желательно без интернета! это хозяйство пыталось обратится в инет (хотя может и не оно)
C. Tantin Опубликовано 30 января, 2010 Опубликовано 30 января, 2010 исправить userinit и диспечер. так же зловред запускает explorer.exe с параметром (расскажите как этот параметр убрать через коммандную строку)Через REG DELETE и REG ADD, видимо. Или предварительно REG COMPARE с тем, что должно быть.
Xenon Опубликовано 30 января, 2010 Автор Опубликовано 30 января, 2010 Нет, скрипт нормальный.... Ты похоже ответил именно на мной исправленный скрипт, а я спрашивал про оригинал (см. выше)
Marcos Опубликовано 31 января, 2010 Опубликовано 31 января, 2010 beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. в этом скрипте не пропущена буква а? Нет, скрипт верный!
Xenon Опубликовано 31 января, 2010 Автор Опубликовано 31 января, 2010 Нет, скрипт верный! Спасибо. Извиняюсь если кого обидел вопросом, но смутило отсутствие в первом из похожих слов буквы а
sig84 Опубликовано 1 февраля, 2010 Опубликовано 1 февраля, 2010 Недавно боролся с такой же гадостью. Помогло только следующее: - подобрал код (см. картинку, какой именно столбец - не помню) - потом чистка с помощью AVZ - помощь наших уважаемых хелперов
snifer67 Опубликовано 1 февраля, 2010 Опубликовано 1 февраля, 2010 Еще тут коды попробуйте http://forum.kasperskyclub.ru/index.php?showtopic=14292
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти