Фигня какая та произошла! Диспечер задач отключён, ещё много чего отключено! пишет что "Диспечер задач отключен администратором"
как включить? в Бесшумный режим лесть? я сейчас в профиле "Администратор компьютера" какую то ересь нажал на флешке поторопясь и теперь вот это у меня на компьютере.

Это дело рук вируса! Проверьте систему с помощью Dr.Web Cureit http://security.tom.ru/av/cureit.exe.
Чтобы включить диспетчер задач, попробуйте:
"Пуск" - "Выполнить" - gpedit.msc
"Конфигурация пользователя" - "Административные шаблоны" - "Система" - "Возможности Ctrl + Alt + Del" - "Удалить Диспетчер Задач" - надо выбрать вариант "Не задана"

Для начала вам нужно удалить вредоносную программу из системы с помощью DrWeb CureIt.

Также советую пользоваться нормальным антивирусом и отключить автозапуск с помощью


Также смотрите тему Диспетчер задач - ЗАБЛОКИРОВАН

не удаётся найти его..
у меня XP
и ещё .... у меня теперь не один файл exe не запускается
попробовал через поиск найти файл! не находит!

запустите файл из вложения, после этого всё должно быть в порядке с ехе-шками

не помогает файлик! в свёрнутом состоянии "редактор реестра" весит и не разворачивается...
а как не запускалась программа Dr Web так и не запускается... и ещё... куда то пропадает эта программ Dr Web после попыток запуска

тогда остаётся другой вариант - скачайте http://security.tom.ru/av/minDrWebLiveCD-5.0.3.iso запишите на диск и загрузитесь с него. проверьте компьютер на вирусы с его помощью, а после этого уже запускайте файлы реестра, которые я давал.

я решил сделать иначе! Переустановил Windows! Изначально было всё нормально, в тот момент пока ставил драйвера, а потом гляжу, и вижу что снова недоступен диспечер задач, ещё плюс недоступен реестр. но к счастью управление папками доступно.
Наверно вирус и на других локальных дисках был размножен что привел снова к такой фигне.
Сейчас запишу на диск "minDrWebLiveCD-5.0.3" и попробую с него просканировать ПК.
Жду помощи.

Скорее всего вирус опять пришел с флешки или с жесткого диска.

Установите FAR или Total Commander.
Удалите из корня дисков autorun.inf
Проверьте систему на вирусы с помощью CureIt.

Записал на диск, а проверил ПК на вирусы...
вот
infected with win32 Sector 12
это что такое? Вирусы?
нашёл он ещё:
infected with Trojan Spambot9106
infected with BackDoor Pigeon 53532
эти штуки я полечил, он написал что удалил их...

Либо вирусы, либо кейгены. Но лучше удалить.

win32 Sector 12

12/12/08, big pig
Вирь - красавец. Нод его правда зовет Sality. Рубит реестр, диспетчер, не дает заходить на некоторые сайты антивирусные, прыгает через авторан и экзе. ну разве не чудо?) Рубится достаточно просто: Чистая машина. Качаете CureIt.Пишите его на чистой машине на болвань (чтоб вирь его не изменил). Вставляете болвань в сдром зараженной машины и запускаете CureIt.Быструю проверку с диска. потом можно скопировать на винчестер и провести еще и полную проверку. После этого. не забудьте еще провести выборочную проверку System Volume Information не знаю почему. но там не вычищается до конца полной проверкой. Чтоб вернуть реестр и диспетчер надо дописать ключи. Сайт не дает их тут выложить (длинные слова получаются). Введите в google запрос "sality злобный" в первой сслыке будет про то. какие ключи надо прописать) Ну и поставьте хороший антивирь на буд)

29/01/09, grIGORash
Мой любимый вирус) Столько гемороя еще ни одна скотина не доставляла)

23/01/10, Ishtvanko
Sality - хороший!!! Не надо на него наговаривать!!! 5 машинков за неделю принесли - нормальный такой PROFIT А по существу - всё правильно. Болванка-livecd, CureIt, реестр можно восстановить готовым reg-файлОм от касперыча.

20/09/10, Gloom82
Sector очень хороший. Убивается элементарно, а прибыль за убийство приносит хорошую. Вот и люблю его))) Сатаненок, 12/12/08
пожалуй эту гадость я ненавижу больше всего! этот мерзейший вирус заражает все исполняемые(программные) файлы на компьютере и сносит Windows напрочь, причем так, что и переустановка не помогает. самое ужасное то, что эта дрянь убивает все известные антивирусы на раз и избавится от нее невозможно!!! единственное, что помогает в этом случае, так это замена винта с потерей всех файлов. кроме того он блокирует диспетчер задач и редактор реестра и полностью не удаляется. вобщем хозяйничает на компьютере как хочет! аргх!

Сатаненок, 12/12/08
мерзость такая, все нервы вымотал. столько сил, времени и денег на эту дрянь потрачено, а он нивкакую! люди добрые, подскажите, пожалуйста антивирус, который эту гадасть выведет! ни касперский, ни NOD32, ни Avast на него не действуют(((

xbreaker, 12/12/08
Не такой он уж страшный . Лечится легко из безопасного режима тем же CureIt, главное через реестр восстановить безопасный режим, который убивается вирусом напрочь =). Ну а дальше дело техники с нулевой потерей данных =)

superpasta, 14/02/10
1 ПК - 2 дня, 500 гигов, ВСЕ exe-файлы!!! Переустановка не помогала, пришлось снимать винт и ставить на здоровую машину. Убиваю с помощью DrWeb 5.0 Space - на здоровой машине гоняет винт с заражённой машины уже 2-й день...

Взято с http://www.lovehate.ru/opinions/86954

Trojan Spambot9106


polword
28.07.2010, 11:36
1. Профиксите в HijackThis как "профиксить в HiJackThis" (http://virusinfo.info/showthread.php?t=4491)

R3 - URLSearchHook: (no name) - - (no file)

2. Выполните скрипт в AVZ (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Паладинский анализатор\palkan.exe','');
QuarantineFile('C:\Windows\cndrive32.exe','');
DeleteFile('C:\Windows\cndrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Policies\Explorer\Run ','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам (http://virusinfo.info/pravila_old.html) п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Nikusia
28.07.2010, 12:05
Карантин загружен.
polword
28.07.2010, 12:24
- Выполните скрипт в AVZ (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('C:\Windows\system32\msvmio de.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-1551551582-3958396402-393435870-1935\syscr.exe','');
QuarantineFile('C:\Windows\system32\msvmiode.exe', '');
QuarantineFile('C:\Documents and Settings\XXX\Application Data\ltzqai.exe','');
QuarantineFile('C:\Windows\system32\msvmiode.exe', '');
DeleteFile('C:\Windows\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\XXX\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\Windows\system32\msvmiode.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1551551582-3958396402-393435870-1935\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам (http://virusinfo.info/pravila_old.html) п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Nikusia
28.07.2010, 12:44
После выполнения скрипта и перезагрузки компьютер начал ругаться.
Пыталась загрузить страницу с рекомендациями - все зависло, после очередной перезагрузки dr.web снова ловил инфицированные файлы: C:\Windows\system32\58.exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\O5AFSDUZ\s[1].exe - инфицирован Win32.HLLW.Lime.8

Карантин загружен.
Nikusia
28.07.2010, 12:56
Решила еще добавить скрины.
thyrex
28.07.2010, 13:28
Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Nikusia
28.07.2010, 13:46
Лог прикреплен.
Nikusia
28.07.2010, 14:16
Ушла, буду завтра в 10 утра...
thyrex
28.07.2010, 14:28
Удалите в МВАМ (http://virusinfo.info/showpost.php?p=493584&postcount=2)
Зараженные файлы:
C:\RECYCLER\S-1-5-21-1551551582-3958396402-393435870-1935\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\XXX\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Default User\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Гость\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.

Добавлено через 56 секунд

Обновления, вышедшие после SP3, все установлены? Если нет, то пришла пора установить
Nikusia
29.07.2010, 10:33
После удаления в MBAM указанных пунктов и перезагрузки Dr.Web снова ругается:

C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5\C1E34T6J\0calc[1].exe - инфицирован Trojan.DownLoader1.16072

C:\Documents and Settings\XXX\Local Settings\Temp\1158.exe - инфицирован Trojan.DownLoader1.16072
polword
29.07.2010, 12:19
- Выполните скрипт в AVZ (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5\C1E34T6J\0calc[1].exe','');
DeleteFile('C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5\C1E34T6J\0calc[1].exe');
DeleteFileMask('C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Documents and Settings\XXX\Local Settings\Temp', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог MBAM (http://virusinfo.info/showthread.php?t=53070)

Обновите систему
- Установите Internet-Explorer 8 (http://www.microsoft.com/rus/windows/in ... fault.aspx).(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут (http://www.update.microsoft.com)
- поставте Adobe Reader 9.3 (http://get.adobe.com/reader/otherversions/) или удалите старый.

После обновления:
- Откройте файл ScanVuln.txt (http://df.ru/~kad/ScanVuln.txt). Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Nikusia
29.07.2010, 15:31
Карантин загружен.
Обновление произведено.
Nikusia
29.07.2010, 15:58
Снова ушла.. завтра продолжим
polword
30.07.2010, 00:06
1. удалите в MBAM


Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\msodesnv7 (Trojan.FakeAlert.H) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-9125806165-9447816149-305795204-0618\syscr.exe,C:\Documents and Settings\XXX\Application Data\ltzqai.exe,explorer.exe,C:\RECYCLER\S-1-5-21-9844434301-2170141262-377692264-4827\syscr.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.

Зараженные файлы:
C:\Windows\system32\msvmiode.exe (Trojan.FakeAlert.H) -> No action taken.
C:\RECYCLER\S-1-5-21-9125806165-9447816149-305795204-0618\syscr.exe (Worm.Autorun.B) -> No action taken.


2.Выполните скрипт в AVZ (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Windows\system32\drivers\391057 11.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Nikusia
30.07.2010, 10:48
Доброе утро.
Карантин загружен.
polword
30.07.2010, 11:45
файл чистый.

- Сделайте лог MBAM (http://virusinfo.info/showthread.php?t=53070)
Nikusia
30.07.2010, 12:38
И опять беда за бедой...
C:\Windows\SYSTEM32\16.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\12.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\50.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\30.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\34.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\61.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\67.EXE - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8DUF89AJ\3[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8DUF89AJ\i[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CL6FKLYF\i[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CL6FKLYF\3[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CTUZ41YN\3[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\O5AFSDUZ\i[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\XXX\Local Settings\Temp\248724.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temp\793.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temp\870.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temp\9236033.exe - инфицирован Trojan.Spambot.9106
C:\Documents and Settings\XXX\Local Settings\Temp\956.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5\2WN5ALA1\ibf[1].exe - инфицирован Win32.HLLW.Autoruner.22584
polword
30.07.2010, 12:52
- сделайте лог Combofix (http://virusinfo.info/showthread.php?t=58309)
Nikusia
30.07.2010, 13:06
Если все сделала так, то то что прикрепила - лог
polword
30.07.2010, 13:14
- Удалите ComboFix (http://virusinfo.info/showpost.php?p=500136&postcount=2)

в логах чисто
Nikusia
30.07.2010, 13:15
Прочитала тему Siggen1.57910 http://virusinfo.info/showthread.php?t=84077
Начиналось все как раз с того, что слетело переключение языковой панели. Правда названий таких как та тема я не видела Если это конечно важно
polword
30.07.2010, 13:16
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
вот это все сделали?
Nikusia
30.07.2010, 13:19
Да, все обновлено. Сегодня еще было обновление Windows, его тоже сделала.
Сканвулн не создает лог (после первого лога все задачи выполнены), я так поняла это потому, что нет уязвимостей..

Добавлено через 52 секунды

- Удалите ComboFix (http://virusinfo.info/showpost.php?p=500136&postcount=2)

в логах чисто

А это делать? "Скачайте OTCleanIt, запустите, нажмите Clean up"
polword
30.07.2010, 13:21
что нет уязвимостей..

да
Nikusia
30.07.2010, 13:26
ComboFix удалила.
polword
30.07.2010, 13:46
все излечено?
Nikusia
30.07.2010, 13:48
Сомнительно, что излечено, т.к. после этого мы ничего не делали более.



C:\Windows\SYSTEM32\16.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\12.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\50.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\30.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\34.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\61.EXE - инфицирован Win32.HLLW.Lime.8
C:\Windows\SYSTEM32\67.EXE - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8DUF89AJ\3[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8DUF89AJ\i[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CL6FKLYF\i[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CL6FKLYF\3[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CTUZ41YN\3[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\O5AFSDUZ\i[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\XXX\Local Settings\Temp\248724.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temp\793.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temp\870.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temp\9236033.exe - инфицирован Trojan.Spambot.9106
C:\Documents and Settings\XXX\Local Settings\Temp\956.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5\2WN5ALA1\ibf[1].exe - инфицирован Win32.HLLW.Autoruner.22584


Сейчас поставила проверять Др.Вебом диск С, посмотрим что скажет.
polword
30.07.2010, 14:00
ждем...

Добавлено через 1 минуту

после можете еще проверить вот этим (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/)
Nikusia
30.07.2010, 14:41
52%..., видимо вернемся к лечению в понедельник..
Рекомендованной программой проверю после др.веба.
Спасибо и до встречи
Nikusia

02.08.2010, 11:57
Доброе утро.
Проблема устранена. Спасибо
CyberHelper
03.08.2010, 11:57
Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 20
В ходе лечения обнаружены вредоносные программы:

c:\documents and settings\xxx\application data\ltzqai.exe - Trojan.Win32.Buzus.evva ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KD.23937, AVAST4: Win32:Malware-gen )
c:\recycler\s-1-5-21-1551551582-3958396402-393435870-1935\syscr.exe - Trojan.Win32.Buzus.evuz ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Inject.ZM, AVAST4: Win32:Malware-gen )

Взято с http://virusinfo.info/archive/index.php/t-84013.html

вроде с вирусом справился! все exe работают отлично!
но почему не работает gpedit.msc
и как восстановить работу реестра?

читайте сабж...

gpedit.msc нет такого файла... через поиск искал, тоже нет!

Всё получилось