-
Junior Member
- Вес репутации
- 60
Проблема с автозапуском
Дико увеличилось время с "приветствия" до нормальной возможности пользоваться компьютером:
Долго висит приветствие, таскбар долго загружается и тп.
В автозапуске (через avz) висит много "черных" пунктов. Кратко посмотрел по поисковикам, "ху из ху", но все же решил обратиться сюда.
+почему-то каждый раз, когда пытаюсь запустить icesword (хочу удалить "MsSip*) вылетает "экран смерти".
Восстановление системы отключил после пункта 1 диагностики.
Про блокировку настроек IE-знаю, моих рук дело.
Спасибо.
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {1FD79A59-37B1-459B-9097-09F9FAB8A523} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\yayyVoNE','');
DeleteFile('C:\WINDOWS\system32\yayyVoNE');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=53320).
Прочитайте и выполните это:
http://virusinfo.info/showthread.php?t=43700.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Прислал карантин.
Сообщение от
Bratez
BITS-поменял значение без проблем.
wuauserv-"не удается изменить "ImagePath". Ошибка при записи нового значения параметра".
-
-
-
Сообщение от
nismoxid
wuauserv-"не удается изменить "ImagePath". Ошибка при записи нового значения параметра".
Разрешения не получается поменять?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Да, не получается.
Сейчас повторю логи.
-
Сообщение от
nismoxid
Сейчас повторю логи.
++ Сделайте лог полного сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Удалите с помощью МБАМ
Код:
HKEY_CLASSES_ROOT\dnscache.dnscacheobj
HKEY_CLASSES_ROOT\dnscache.dnscacheobj.1
HKEY_CLASSES_ROOT\Interface\{3f8febf0-4a50-4420-904c-52b90054223e}
HKEY_CLASSES_ROOT\Interface\{a825b3f7-6d09-4e4b-89a3-0dc05c0121fe}
HKEY_CLASSES_ROOT\CLSID\{376892ae-1825-4e5f-9f85-23f9640051cc}
HKEY_CLASSES_ROOT\Typelib\{46633232-ceae-4e9d-a0b7-37dcecbb97c6}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b5ac49a2-94f2-42bd-f434-2604812c897d}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b5af0562-94f3-42bd-f434-2604812c797d}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{32c620d6-cc10-4e6a-9715-bacacd5b0e61}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{376892ae-1825-4e5f-9f85-23f9640051cc}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09a78b33-c7f6-465d-9cca-98d5b98b78cb}
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7}
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6}
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7}
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\apexdc++
HKEY_CLASSES_ROOT\WR
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{010f0c47-7489-482b-a25f-be0000ffda24}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a236cbfe-56ce-47c5-8f0a-f0336d353314}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{010f0c47-7489-482b-a25f-be0000ffda24}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a236cbfe-56ce-47c5-8f0a-f0336d353314}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{010f0c47-7489-482b-a25f-be0000ffda24}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a236cbfe-56ce-47c5-8f0a-f0336d353314}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{010f0c47-7489-482b-a25f-be0000ffda24}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a236cbfe-56ce-47c5-8f0a-f0336d353314}\DhcpNameServer
C:\Documents and Settings\All Users\Ãëàâíîå ìåíþ\Ïðîãðàììû\Ardamax Keylogger
C:\WINDOWS\system32\lowsec
C:\Documents and Settings\All Users\Application Data\16877964
C:\Documents and Settings\All Users\Application Data\16877964\16877964.exe
C:\Documents and Settings\C. Four\Local Settings\Temp\CSM101.tmp
C:\Documents and Settings\C. Four\Local Settings\Temp\TMP115.tmp
C:\Documents and Settings\C. Four\Local Settings\Temp\~TM129.tmp
C:\Documents and Settings\C. Four\Local Settings\Temp\~TM149.tmp
C:\WINDOWS\system32\ttlylwg.dll
C:\Documents and Settings\All Users\Ãëàâíîå ìåíþ\Ïðîãðàììû\Ardamax Keylogger\Help.lnk
C:\Documents and Settings\All Users\Ãëàâíîå ìåíþ\Ïðîãðàììû\Ardamax Keylogger\Log Viewer.lnk
C:\WINDOWS\system32\lowsec\local.ds
C:\WINDOWS\system32\lowsec\user.ds
C:\Documents and Settings\C. Four\Application Data\wiaserva.log
C:\autorun.inf
C:\WINDOWS\system32\sft.res
C:\WINDOWS\aol.com-error.html
C:\WINDOWS\gmail.com-error.html
C:\WINDOWS\Google.com-error.html
C:\WINDOWS\live.com-error.html
C:\WINDOWS\search.yahoo.com-error.html
- Очистите темп-папки, кэш проводников и корзину.
- Очистите файл hosts.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 60
А если я закрыл MBAM после проверки, как пофиксить ошибки? Неужели придется заново проверять всю систему? Это 2 с половиной часа!
-
Сообщение от
nismoxid
Неужели придется заново проверять всю систему? Это 2 с половиной часа!
Ну завтра сделаете - вирусы не тараканы, за ночь не разбегутся
-
-
Junior Member
- Вес репутации
- 60
Загрузил логи. Через MBAM удалял не все-т.к. Вы посоветовали мне удалить то что у меня давно стоит, то что я ставил сам. Например, adramax keylogger.
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Код:
127.0.0.1 q4master.idsoftware.com
81.177.22.48 farmerbot.mmteh.ru
Вы сами прописывали? Если НЕТ: http://virusinfo.info/showthread.php?t=7660
- Прочитайте и сделайте: http://virusinfo.info/showthread.php?t=43700
- Удалите Bonjour.
Разрешение меняется?
-
-
Junior Member
- Вес репутации
- 60
Прописывал я.
Удалил "Бонжур".
Разрешение НЕ меняется. Опять wuauserv.
-
Сообщение от
nismoxid
Разрешение НЕ меняется. Опять wuauserv.
- Выполните скрипт
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 60
Выполнил. Все равно не изменить значение.
-
Сообщение от
nismoxid
Выполнил. Все равно не изменить значение.
Безопасный режим + логин Администратор. Попробуйте оттуда.
-
-
В диалоге разрешений нажмите кнопку Дополнительно, выберите вкладку Владелец и измените владельца на группу Администраторы.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Bratez
В диалоге разрешений нажмите кнопку Дополнительно, выберите вкладку Владелец и измените владельца на группу Администраторы.
Проделал это, и сразу поменял значение.
---
А тут только меня интересует некий splm.sys?
-
Сообщение от
nismoxid
А тут только меня интересует некий splm.sys?
sp??.sys - это от эмулятора CD.
I am not young enough to know everything...
-