Вирус блокирует все антивирусные утилиты и сайты

@ether86 · Регистрация: 29.04.2011

Студворк — интернет-сервис помощи студентам

Здравствуйте. Помогите, пожалуйста, разобраться с моей проблемой. Не могу определить из-за чего у меня на компьютере при запуске оперы выскакивает ошибка инициализации; не могу написать слова английскими буквами: авз, хайджектис, (сразу отключается браузер и explorer); не могу перейти на сайты антивирусов (касперский, доктор вэб). Заранее благодарен.

@ether86 · 29.04.2011, 19:46 **[ТС]**

Я смог найти авз с запуском с ярлыка и скачал с форума. Выкладываю лог.

@Katharsis · 29.04.2011, 20:16

ок.

Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\apppatch\fkzihar.dat','');
 DeleteFile('C:\WINDOWS\apppatch\fkzihar.dat');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

обновите базы avz и повторите логи. Подготовьте логи rsit, предварительно скачав и установив hijackthis

@ether86 · 29.04.2011, 22:07 **[ТС]**

Я вам очень благодарен за вашу помощь. Скрипты выполнил, отослал по форме в лабораторию, жду ответ.Скачал Malwarebytes' Anti-Malware, запустил, удалил 33 инфицированных объекта. Повторил логи avz, удалось установить hijackthis и rsit. Теперь антивирусные сайты снова открываются, на слова avz, hijackthis, rsit explorer не закрывается, эти программы запускаются.
Из лаборатории пришел ответ: fkzihar.dat - Backdoor.Win32.Shiz.dqp
Подскажите, пожалуйста, что мне предпринять?

@Katharsis · 29.04.2011, 22:30

Сообщение от ether86

что мне предпринять?

Внимательнее читать.

Сообщение от Katharsis

обновите базы avz и повторите логи.

Лог mbam где?

@ether86 · 29.04.2011, 22:41 **[ТС]**

Виноват. Присоединил логи.

@Katharsis · 29.04.2011, 22:48

нужен лог virusinfo_syscheck.zip (avz - стандартный скрипт 2), то что вы выложили не пойдёт.

Добавлено через 4 минуты

это должно быть удалено

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer\No SMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Заражённые файлы:
c:\11\avz4\quarantine\2011-04-29\avz00001.dta (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Тимур\application data\netprotdrvss (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Тимур\application data\netprotocol.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Тимур\local settings\Temp\Rar$DR00.406\avz00001.dta (Spyware.Passwords.XGen) -> No action taken.
c:\program files\Opera\null0.48001424278256877.exe (Spyware.Passwords.XGen) -> No action taken.
c:\program files\Util\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
e:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP33\A0024235.dll (Trojan.Downloader) -> No action taken.
e:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP33\A0024386.dll (Trojan.Downloader) -> No action taken.
e:\system volume information\_restore{bc8769c0-4bc2-4f72-8c0e-ba10145bb9aa}\RP125\A0030843.EXE (Joke.Winshoot) -> No action taken.
e:\system volume information\_restore{bc8769c0-4bc2-4f72-8c0e-ba10145bb9aa}\RP125\A0031057.exe (Malware.Gen) -> No action taken.
f:\Games\RapeLay\Trainers\rapelay +12 trainer.exe (Trojan.Agent) -> No action taken.
f:\Games\RapeLay\Trainers\rapelay anti cum trainer.exe (Trojan.Agent) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP35\A0027503.exe (Adware.TMAagent) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP35\A0027504.exe (Adware.TMAagent) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP35\A0027505.exe (Adware.TMAagent) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP40\A0030486.dll (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP40\A0030637.dll (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP42\A0034747.dll (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP42\A0034898.dll (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP43\A0038489.dll (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP43\A0038640.dll (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP43\A0039998.dll (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP43\A0040149.dll (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP46\A0042253.exe (Spyware.Banker) -> No action taken.
f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP49\A0043378.exe (Adware.TMAagent) -> No action taken.

остальное можно оставить. Лог повторите

Обязательно поменяйте все ваши пароли.

@ether86 · 29.04.2011, 22:49 **[ТС]**

Скрипт выполнил.

@Katharsis · 29.04.2011, 23:17

лог mbam повторите.

@ether86 · 30.04.2011, 00:00 **[ТС]**

Повторил лог mbam.

@Katharsis · 30.04.2011, 00:06

всё ок. ещё что то беспокоит?

@ether86 · 30.04.2011, 00:13 **[ТС]**

Спасибо вам огромное за помощь. Благодаря вам мой компьютер снова работает как надо. С наступающим вас праздником 1 Мая.

@Katharsis · 30.04.2011, 00:15

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentV ersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@ether86 1 / 1 / 0 Регистрация: 29.04.2011 Сообщений: 9

	Вирус блокирует все антивирусные утилиты и сайты 29.04.2011, 19:28. Показов 2770. Ответов 12 Метки backdoor.win32.shiz.dqp (Все метки) Здравствуйте. Помогите, пожалуйста, разобраться с моей проблемой. Не могу определить из-за чего у меня на компьютере при запуске оперы выскакивает ошибка инициализации; не могу написать слова английскими буквами: авз, хайджектис, (сразу отключается браузер и explorer); не могу перейти на сайты антивирусов (касперский, доктор вэб). Заранее благодарен. 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	29.04.2011, 22:48
	нужен лог virusinfo_syscheck.zip (avz - стандартный скрипт 2), то что вы выложили не пойдёт. Добавлено через 4 минуты это должно быть удалено Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer\No SMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken. Заражённые файлы: c:\11\avz4\quarantine\2011-04-29\avz00001.dta (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Тимур\application data\netprotdrvss (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Тимур\application data\netprotocol.exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Тимур\local settings\Temp\Rar$DR00.406\avz00001.dta (Spyware.Passwords.XGen) -> No action taken. c:\program files\Opera\null0.48001424278256877.exe (Spyware.Passwords.XGen) -> No action taken. c:\program files\Util\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken. e:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP33\A0024235.dll (Trojan.Downloader) -> No action taken. e:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP33\A0024386.dll (Trojan.Downloader) -> No action taken. e:\system volume information\_restore{bc8769c0-4bc2-4f72-8c0e-ba10145bb9aa}\RP125\A0030843.EXE (Joke.Winshoot) -> No action taken. e:\system volume information\_restore{bc8769c0-4bc2-4f72-8c0e-ba10145bb9aa}\RP125\A0031057.exe (Malware.Gen) -> No action taken. f:\Games\RapeLay\Trainers\rapelay +12 trainer.exe (Trojan.Agent) -> No action taken. f:\Games\RapeLay\Trainers\rapelay anti cum trainer.exe (Trojan.Agent) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP35\A0027503.exe (Adware.TMAagent) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP35\A0027504.exe (Adware.TMAagent) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP35\A0027505.exe (Adware.TMAagent) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP40\A0030486.dll (Trojan.Downloader) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP40\A0030637.dll (Trojan.Downloader) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP42\A0034747.dll (Trojan.Downloader) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP42\A0034898.dll (Trojan.Downloader) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP43\A0038489.dll (Trojan.Downloader) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP43\A0038640.dll (Trojan.Downloader) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP43\A0039998.dll (Trojan.Downloader) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP43\A0040149.dll (Trojan.Downloader) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP46\A0042253.exe (Spyware.Banker) -> No action taken. f:\system volume information\_restore{7ea5bc97-791a-4ae1-921f-c48f41c5f50c}\RP49\A0043378.exe (Adware.TMAagent) -> No action taken. остальное можно оставить. Лог повторите Обязательно поменяйте все ваши пароли. 1

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	29.04.2011, 23:17
	лог mbam повторите. 1

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	30.04.2011, 00:06
	всё ок. ещё что то беспокоит? 1

@ether86 1 / 1 / 0 Регистрация: 29.04.2011 Сообщений: 9
	30.04.2011, 00:13 [ТС]
	Спасибо вам огромное за помощь. Благодаря вам мой компьютер снова работает как надо. С наступающим вас праздником 1 Мая. 1