Решена - Вирус, закрывающий программы

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем vgkseul26, 29 окт 2011.

Статус темы:
Закрыта.
  1. vgkseul26

    vgkseul26 Junior User

    Помогите избавиться от вируса, закрывающего программы. Пробовал следовать инструкции, но вирус закрывает и AVZ, и Hijackthis. Полиморфный AVZ также был закрыт. Попробовал через утилиту uVS ...программа запускается при нажатии "запустить под текущим пользователем", однако выдает ошибку и закрывается при нажатии "Файл - Сохранить Полный образ автозапуска".
     
  2. oleg

    oleg Expert Вирусоборец

  3. vgkseul26

    vgkseul26 Junior User

    uVS находит список вирусов и через небольшой промежуток времени закрывается(при нажатии Файл - Сохранить Полный образ автозапуска или любой подобной попытки сохранить лог закрывается сразу), а программа MBAM закрыается, не успев запуститься. При попытке сделать лог в полиморфной версии AVZ файл svchost.pif закрывается сразу же после запуска.
     
    Последнее редактирование: 29 окт 2011
  4. oleg

    oleg Expert Вирусоборец

    переименуйте файл svchost.pif в j0k.pif и попробуйте запутить.
     
  5. oleg

    oleg Expert Вирусоборец

    Скопируйте j0k.pif в новую папку,
    В этой же папке создайте в блокноте текстовый файл с такой строкой:

    Сохраните файл, переименуйте его в j0k.bat и запустите.
     
  6. vgkseul26

    vgkseul26 Junior User

    Переименовал...программа все равно закрывается...
     
  7. oleg

    oleg Expert Вирусоборец

  8. oleg

    oleg Expert Вирусоборец

    Если и так не получится, загрузитесь в безопасном режиме (при загруке F8) и сделайте логи от туда.
     
  9. vgkseul26

    vgkseul26 Junior User

    После открытия файла сразу же выскакивает окно о прекращении работы программы
     
  10. vgkseul26

    vgkseul26 Junior User

    Не получается, безопасный режим не запускается, хотя жму F8 на протяжении всей загрузки...
     
  11. Nod

    Nod Moderator

    Скачайте RKill by Grinler на рабочий стол по одной из этих ссылок



    Закройте все программы,отключите антивирус/фаервол и прочее защитное ПО и запустите программу.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

    Дождитесь окончания работы программы и формирования лога который будет находиться по адресу C:\rkill.log. Прикрепите его к своему сообщению.

    Не перезагружая компьютер, сделайте логи в AVZ!
     
  12. vgkseul26

    vgkseul26 Junior User

  13. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     DeleteFile('C:\WINDOWS\system32\DAXZTCK.DLL');
     DeleteFile('C:\WINDOWS\system32\COMPMGMTLAUNCHER.EXE');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O20 - AppInit_DLLs: C:\Windows\system32\daxztck.dll
    
    5. Сделайте логи AVZ.

    6. Cделайте лог MBAM и дайте ссылку на файл лога.
     
  14. vgkseul26

    vgkseul26 Junior User

    выполнил скрипт в AVZ, но в HijackThis не нашел в отчете такой строки...вот логи AVZ и MBAM сделанный в безопасном режиме

    ____________
    После выполнения скрипта файлы перестали закрываться, но система сильно тормозит...Большое спасибо за помощь.
     
    Последнее редактирование: 29 окт 2011
Статус темы:
Закрыта.

Поделиться этой страницей