Решена Блокировка работы Windows

Тема в разделе "Лечение компьютерных вирусов", создана пользователем dasdad, 22 дек 2011.

Статус темы:
Закрыта.
  1. dasdad
    Оффлайн

    dasdad Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Пару дней назад подцепил вирус на комп. Вирус блокирует все программы кроме IE x64 и тотал коммандер и explorer. Буду благодарен за помощь
     

    Вложения:

    • info.txt
      Размер файла:
      41,4 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      59,1 КБ
      Просмотров:
      6
    • virusinfo_syscheck.zip
      Размер файла:
      26,7 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      26,9 КБ
      Просмотров:
      7
  2. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    dasdad, Приветы. :)
    Отключите:
    Антивирус/Файерволл.

    Скрипт AVZ.
    Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\SYSWOW64\9987.tmp','');
     QuarantineFile('C:\Windows\SYSWOW64\gfgfbib.dll','');
     DeleteFile('C:\Windows\SYSWOW64\gfgfbib.dll');
     DeleteFile('C:\Windows\SYSWOW64\9987.tmp');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
     AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
     
    После перезагрузки откроется папка AVZ в которой будет файл quarantine.zip. Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

    Сделайте повторные логи AVZ + RSIT

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
     
    3 пользователям это понравилось.
  3. dasdad
    Оффлайн

    dasdad Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Привет, Drongo! Не срабатывает. Пишет что срабатывает перехватчик. И программа AVZ выключается.

    Пытался выполнить через Безопасный режим - тоже не выходит. Касперского тоже не дает установить
     
    Последнее редактирование: 22 дек 2011
  4. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Попробуйте выполнить скрипт без
     
    2 пользователям это понравилось.
  5. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Так пробуйте.
    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\SYSWOW64\9987.tmp','');
     QuarantineFile('C:\Windows\SYSWOW64\gfgfbib.dll','');
     DeleteFile('C:\Windows\SYSWOW64\gfgfbib.dll');
     DeleteFile('C:\Windows\SYSWOW64\9987.tmp');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
     AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
     
    1 человеку нравится это.
  6. dasdad
    Оффлайн

    dasdad Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Спасибо Drongo. Спасибо shestale. Скрипт сработал после удаления строки. Единственное, что папка Quarantine пуста
     

    Вложения:

    • info.txt
      Размер файла:
      41,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      58,9 КБ
      Просмотров:
      4
    • virusinfo_syscheck.zip
      Размер файла:
      27,2 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      34,6 КБ
      Просмотров:
      7
  7. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Выполните такой скрипт ещё.
    Код (Text):
    begin
     QuarantineFile('C:\Windows\SYSWOW64\gfgfbib.dll','');
     QuarantineFile('C:\Windows\System32\gfgfbib.dll','');
     DeleteFile('C:\Windows\SYSWOW64\gfgfbib.dll');
     DeleteFile('C:\Windows\System32\gfgfbib.dll');
     RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
    end.
    И логи МВАМ из второго сообщения.
     
    Последнее редактирование модератором: 22 дек 2011
    1 человеку нравится это.
  8. dasdad
    Оффлайн

    dasdad Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Drongo, Вот MBAM лог

    И ещё протокол AVZ, после выполнения последнего скрипта. Все верно? Может ещё что-то не так, а то меня одолевают сомнения..
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\SYSWOW64\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\SYSWOW64\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\SYSWOW64\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\SYSWOW64\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\SYSWOW64\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\SYSWOW64\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\gfgfbib.dll)
    Карантин с использованием прямого чтения - ошибка
    Удаление файла: C:\Windows\SYSWOW64\gfgfbib.dll
    >>>Для удаления файла C:\Windows\SYSWOW64\gfgfbib.dll необходима перезагрузка
    Удаление файла: C:\Windows\System32\gfgfbib.dll
    >>>Для удаления файла C:\Windows\System32\gfgfbib.dll необходима перезагрузка
    [микропрограмма лечения]> изменен параметр AppInit_DLLs ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
     

    Вложения:

    Последнее редактирование: 23 дек 2011
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Повторный лог RSIT сделайте.

    Как самочувствие?
     
    1 человеку нравится это.
  10. dasdad
    Оффлайн

    dasdad Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Спасибо, не плохо :) все признаки исчезли, программы запускаются
     

    Вложения:

    • info.txt
      Размер файла:
      41,9 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      59,7 КБ
      Просмотров:
      2
  11. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Больше ни чего подозрительного не вижу.

    Деинсталируйте МВАМ
    Пуск-Панель управления-Установка/удаление программ-найдите Malwarebytes Anti-Malware и нажмите удалить.


    Вам необходимо:
    1.создать новую контрольную точку восстановления и очистить предыдущие.
    2.очистить временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.

    И выполняйте пожалуйста рекомендации:
    - не работать за компьютером с правами администратора
    - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
    - регулярно устанавливать обновления windows
    - регулярно проверять систему антивирусными утилитами CureIT и AVPTool.
    - регулярно обновлять антивирус и антивирусные базы

    Всего хорошего.
     
    1 человеку нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей