Вирус блокирует запуск почти всех программ

@Denkul · Регистрация: 27.09.2011

Author24 — интернет-сервис помощи студентам

Сразу прошу прощения за создание еще одной такой темы, в той не смог почему-то добавить свой ответ...

Суть мой проблемы такая же, словил вирус который блокирует открытие всех программ (включая антирусники, на данный момент стоит DrWeb)
При попытке открыть любой браузер (за исключением IE), программу(тот же квип или скайп скажем) выскакивает окно что программа была закрыта и предлагается поиск решения проблемы в интернете либо закрыть прогамму...
Если поможет немного данных о системе Win 7 (максимальная версия, 64разрядка)

Сделал срипт в AVZ, прикладываю к тексту сообщения, и жду помощи как можно скорей, имхо комп срочно нужен по работе, а делать ничего не могу...

@~~Katharsis~~ · 27.09.2011, 22:34

логи rsit так же сделайте

@Denkul · 27.09.2011, 22:38 **[ТС]**

пожалуйста, все сделал как просили

@~~Katharsis~~ · 27.09.2011, 22:50

1.В логе сканирования Hijackthis отметьте:

R3 - URLSearchHook: (no name) - - (no file)
O20 - AppInit_DLLs: D:\Windows\system32\ygzzisd.dll

нажмите "Fix checked"

2.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, false);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Windows\SYSWOW64\9B93.tmp','');
 QuarantineFile('D:\Windows\system32\ygzzisd.dll','');
 DeleteFile('D:\Windows\system32\ygzzisd.dll');
 DeleteFile('D:\Windows\SYSWOW64\9B93.tmp');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('D:\Windows\system32\ygzzisd.dll');
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

Даже если после этого основная проблема будет решена, пункты 3 и 4 нужно будет выполнить в любом случае обязательно.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.сделайте повторные логи avz (в нормальном режиме!) и rsit.

@Denkul · 27.09.2011, 22:56 **[ТС]**

Сообщение от Katharsis

1.В логе сканирования Hijackthis отметьте:
R3 - URLSearchHook: (no name) - - (no file)
O20 - AppInit_DLLs: D:\Windows\system32\ygzzisd.dll
нажмите "Fix checked"

прошу прощения, но что сделать с этими 2мя строчками? что-то не найду где это сделать в блокноте

может конечно я совсем глупый)

@~~Katharsis~~ · 27.09.2011, 23:04

у вас должна была установиться программа Hijackthis (D:\Program Files\trend micro\Денис.exe), запустите ее, в логе отметьте эти строки и пофиксите.

@Denkul · 27.09.2011, 23:23 **[ТС]**

все заработало, Большое Вам спасибо:dance3:, дальше все сделаю как Вы сказали, пока идет проверка Malwarebytes' Anti-Malware, после этого обязательно выложу логи с AVZ и rsit

@Denkul · 28.09.2011, 17:37 **[ТС]**

вот файлы после всех проверок, еще раз спасибо за быструю и качественную помощь

@~~Katharsis~~ · 28.09.2011, 18:25

из найденного malwarebytes удалите:

Зараженные файлы:
c:\documents and settings\Admin\application data\thinstall\adobe photoshop cs3\1000000b00002i\rundll32.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\thinstall\adobe photoshop cs3\400000a500003i\fnplicensingservice.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\winxrar.exe (Trojan.Dynamer) -> No action taken.
c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\6ee5af3545b8bdd355254838ba193c24a9a84\AcroTray.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\76d40cec5f167aff12d86ca19f0fba92ebf7634\qip.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\8c6ad8f097fdff26b2c89a109b788a85f670a446\AcroDist.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\f56bcb71cc6ea835ff444c86327a4d26514dc15\fnplicensings ervice.exe (Trojan.Backdoor) -> No action taken.

лог повторите

AVZ у вас в нормальном режиме по прежнему не запускается? Если запускается, сделайте стандартный скрипт 2, лог virusinfo_syscheck.zip выложите

файл c:\WINDOWS\system32\ctfmon.exe нужно будет заменить на чистый с установочного диска. Диск с win7 у вас есть?

@Denkul · 28.09.2011, 18:41 **[ТС]**

а как должен AVZ запускаться в нормальном режиме? я открывал как и до этого (винда при этом включена как обычно, без безопасного режима)

а файл что в папки систем32 думаю найду, диск установочный есть

@~~Katharsis~~ · 28.09.2011, 18:52

Сообщение от Denkul

а как должен AVZ запускаться в нормальном режиме?

авз - файл - стандартные скрипты - стандартный скрипт 2

Сообщение от Katharsis

лог virusinfo_syscheck.zip выложите

Сообщение от Denkul

а файл что в папки систем32 думаю найду, диск установочный есть

Он находится на установочном диске в архиве

install.wim\1\Windows\System32\

архив можно открыть при помощи 7-zip

Сообщение от Katharsis

лог malwarebytes повторите

@~~Katharsis~~ Заблокирован
	27.09.2011, 22:34	2
	логи rsit так же сделайте 0

@~~Katharsis~~ Заблокирован
	27.09.2011, 22:50	4
	1.В логе сканирования Hijackthis отметьте: R3 - URLSearchHook: (no name) - - (no file) O20 - AppInit_DLLs: D:\Windows\system32\ygzzisd.dll нажмите "Fix checked" 2.Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, false); SetAVZGuardStatus(True); QuarantineFile('D:\Windows\SYSWOW64\9B93.tmp',''); QuarantineFile('D:\Windows\system32\ygzzisd.dll',''); DeleteFile('D:\Windows\system32\ygzzisd.dll'); DeleteFile('D:\Windows\SYSWOW64\9B93.tmp'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('D:\Windows\system32\ygzzisd.dll'); BC_Activate; RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. Даже если после этого основная проблема будет решена, пункты 3 и 4 нужно будет выполнить в любом случае обязательно. 3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 4.сделайте повторные логи avz (в нормальном режиме!) и rsit. 0

@Denkul 0 / 0 / 0 Регистрация: 27.09.2011 Сообщений: 6
	27.09.2011, 22:56 [ТС]	5
	Сообщение от Katharsis 1.В логе сканирования Hijackthis отметьте: R3 - URLSearchHook: (no name) - - (no file) O20 - AppInit_DLLs: D:\Windows\system32\ygzzisd.dll нажмите "Fix checked" прошу прощения, но что сделать с этими 2мя строчками? что-то не найду где это сделать в блокноте может конечно я совсем глупый) 0

@~~Katharsis~~ Заблокирован
	27.09.2011, 23:04	6
	у вас должна была установиться программа Hijackthis (D:\Program Files\trend micro\Денис.exe), запустите ее, в логе отметьте эти строки и пофиксите. 1

@Denkul 0 / 0 / 0 Регистрация: 27.09.2011 Сообщений: 6
	27.09.2011, 23:23 [ТС]	7
	все заработало, Большое Вам спасибо:dance3:, дальше все сделаю как Вы сказали, пока идет проверка Malwarebytes' Anti-Malware, после этого обязательно выложу логи с AVZ и rsit 0

@~~Katharsis~~ Заблокирован
	28.09.2011, 18:25	9
	из найденного malwarebytes удалите: Зараженные файлы: c:\documents and settings\Admin\application data\thinstall\adobe photoshop cs3\1000000b00002i\rundll32.exe (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\thinstall\adobe photoshop cs3\400000a500003i\fnplicensingservice.exe (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\winxrar.exe (Trojan.Dynamer) -> No action taken. c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\6ee5af3545b8bdd355254838ba193c24a9a84\AcroTray.exe (Trojan.Backdoor) -> No action taken. c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\76d40cec5f167aff12d86ca19f0fba92ebf7634\qip.exe (Trojan.Backdoor) -> No action taken. c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\8c6ad8f097fdff26b2c89a109b788a85f670a446\AcroDist.exe (Trojan.Backdoor) -> No action taken. c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\f56bcb71cc6ea835ff444c86327a4d26514dc15\fnplicensings ervice.exe (Trojan.Backdoor) -> No action taken. лог повторите AVZ у вас в нормальном режиме по прежнему не запускается? Если запускается, сделайте стандартный скрипт 2, лог virusinfo_syscheck.zip выложите файл c:\WINDOWS\system32\ctfmon.exe нужно будет заменить на чистый с установочного диска. Диск с win7 у вас есть? 0

@Denkul 0 / 0 / 0 Регистрация: 27.09.2011 Сообщений: 6
	28.09.2011, 18:41 [ТС]	10
	а как должен AVZ запускаться в нормальном режиме? я открывал как и до этого (винда при этом включена как обычно, без безопасного режима) а файл что в папки систем32 думаю найду, диск установочный есть 0

@~~Katharsis~~ Заблокирован
	28.09.2011, 18:52	11
	Сообщение от Denkul а как должен AVZ запускаться в нормальном режиме? авз - файл - стандартные скрипты - стандартный скрипт 2 Сообщение от Katharsis лог virusinfo_syscheck.zip выложите Сообщение от Denkul а файл что в папки систем32 думаю найду, диск установочный есть Он находится на установочном диске в архиве install.wim\1\Windows\System32\ архив можно открыть при помощи 7-zip Сообщение от Katharsis лог malwarebytes повторите 0