Диспетчер задач не запускается и ещё много чего не работает [OK]

[Demin]

Добрый день!

 

Объясняю в чем дело!

 

ПК используеться как сервер для 1С, консультант плюс, и файл обмена!

С недавнего времени происходит следующее!

1. Отключился диспетчер задач (диспетчер заблокирован администратором)+реестр!

2. касперский тоже потерялся! т.е. на панеле снизу значок есть, но он не активный!после чего мне пришлось его выключить, т.к. нужны срочно были документы офиса ворд!.

3. при попытке запустить касперского он не запускается!

4. пытался переустановить - отключается при установке спустя несколько секунд.

5. Пробовал AVZ работает также несколько секунд, потом выключается!

6. Разблокировал диспетчер задач и реестр, но спустя секунды 3 они заблокированы!

7. На сайты антивирусов не заходит в том числе и других антивирусных программ!

 

Помогите плиз! что делать не знаю! Все форумы облазил!

 

Остальные ПК касперский установил но он пишет "Защита не работает" переустанавливал, не помогает!

 

[Apollon]

Здраствуйте! Добро пожаловать на форум!

Выполните данные правила , у меня в подписи есть альтернативная AVZ скачайте её

Сообщение от модератора User

Тема перенесена отсюда

[Demin]

Сообщаю! AVZ4.exe не запускаеться вернее запускаеться только на 2-5 секунды! но за это время я не успеваю ничего сделать!

[Falcon]

Попробуйте этот AVZ.

[Demin]

логи сделал единственная проблема это AVZ который предложил Falcon не обновил базу!

Жду ответа намои проблемы!

[thyrex]

Это нормально. В полиморфном AVZ обновление баз недоступно.

Выкладывайте логи

[Demin]

Логи! незнаю правильно выложил или нет! если что скажите как выложить, и я выложу!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Отключите восстановление системы!

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\docume~1\user\locals~1\temp\wa3066.exe');
QuarantineFile('c:\docume~1\user\locals~1\temp\bhpxal.exe','');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\bhpxal.exe');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\d8b163.exe','');
QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
QuarantineFile('C:\WINDOWS\System32\polagent.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\rpjvutov.sys','');
DeleteService('rpjvutov');
QuarantineFile('C:\WINDOWS\system32\drivers\migpr.sys','');
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\System32\drivers\9d51d1bf.sys','');
DeleteService('9d51d1bf');
QuarantineFile('C:\WINDOWS\system32\mmfinfo.dll','');
QuarantineFile('C:\WINDOWS\system32\mkunicode.dll','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\wa3066.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\bhpxal.exe','');
QuarantineFile('C:\DOCUME~1\User\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('c:\docume~1\user\locals~1\temp\wa3066.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\bhpxal.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\wa3066.exe');
DeleteFile('C:\DOCUME~1\User\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\bhpxal.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\wa3066.exe');
DeleteFile('C:\WINDOWS\System32\drivers\9d51d1bf.sys');
DeleteFile('C:\WINDOWS\system32\drivers\migpr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\rpjvutov.sys');
DeleteFile('C:\WINDOWS\system32\d8b163.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('F:\aaun.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\autorun.exe');
BC_ImportAll;
BC_DeleteSvc('9d51d1bf');
BC_DeleteSvc('abp470n5');
BC_DeleteSvc('rpjvutov');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав, что пароль на архив - virus (укажите это в письме).

О результате сообщите.

 

Пофиксить:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

 

Это ваше?

O17 - HKLM\System\CCS\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1
O17 - HKLM\System\CS4\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1
O17 - HKLM\System\CS5\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1

 

Повторите логи заново.

[Demin]

O17 - HKLM\System\CCS\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1

O17 - HKLM\System\CS3\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1

O17 - HKLM\System\CS4\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1

O17 - HKLM\System\CS5\Services\Tcpip\..\{05A5E877-7FF5-459D-A18A-F82805C640F1}: NameServer = 62.213.0.12,62.213.2.1

да эт наше!

[thyrex]

Скрипты выполнили? Новые логи где?

[Demin]

архив занимает 5,2м есть предложения?

Изменено 24 мая, 2009 пользователем Demin

[thyrex]

Архив с новыми логами? Карантин сюда выкладывать не нужно

[Demin]

Ответ такой!

 

 

9d51d1bf.sys,

csrcs.exe,

mkunicode.dll,

mmfinfo.dll

 

Вредоносный код в файлах не обнаружен.

 

FieryAds.dll - Trojan.Win32.BHO.syb

 

Этот файл определяется антивирусом. Обновите антивирусные базы.

 

тогда какие ещё логи нужны?

 

новые логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[thyrex]

Флэшку вы удачно вставили...

А антивирусов целых три (Касперский, NOD32, Symantec). Или следы некоторых

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\emshwu.pif','');
QuarantineFile('C:\WINDOWS\system32\drivers\migpr.sys','');
QuarantineFile('c:\docume~1\user\locals~1\temp\winajlwf.exe','');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\winajlwf.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\winajlwf.exe');
DeleteFile('C:\WINDOWS\system32\drivers\migpr.sys');
DeleteFile('F:\emshwu.pif');
DeleteFile('emshwu.pif');
DeleteFile('F:\autorun.inf');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DeleteFileMask('c:\docume~1\user\locals~1\temp\', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: Доступ к платному контенту FieryAds v2.0.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\User\APPLIC~1\FieryAds\FieryAds.dll
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

 

Скачайте IceSword

Распакуйте в отдельную папку и запустите.

Все дальнейшие действия выполнять в этой программе

 

Выберите Registry.

Проверьте в указанных ветках реестра значения параметров (указаны верные значения)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
"SuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

 

Также поищите в реестре строки, содержащие %fystemRoot%, и в этих строках замените %fystemRoot% на %systemRoot%

 

Сделайте новые логи

[Demin]

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O2 - BHO: Доступ к платному контенту FieryAds v2.0.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\User\APPLIC~1\FieryAds\FieryAds.dll

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

 

не отображаются!