Здравствуйте. Обращаюсь к вам вновь с новой проблемой. Появился баннер на весь рабочий стол. На подозрительные сайты уже не захожу давно, как словил - не знаю. Ни логов, ни сканов сделать не могу т.к. Все заблокировано. Помогите пожалуйста.
Здравствуйте. Обращаюсь к вам вновь с новой проблемой. Появился баннер на весь рабочий стол. На подозрительные сайты уже не захожу давно, как словил - не знаю. Ни логов, ни сканов сделать не могу т.к. Все заблокировано. Помогите пожалуйста.
Уважаемый(ая) DoubleD, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
I этап (выполняется на чистой от вирусов машине)
1. Скачайте на компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP - версия 2005 (5.0), для Vista - версия 2007 (6.0), для Windows 7 - версия 2009 (6.5)). Ссылки ищите в Google, например.
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero
II этап (выполняется на заблокированной машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь
При загрузке Вы должны указать диск, на который установлена заблокированная система (образец)
3. Посмотрите в реестре:
ветка
параметрКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметрКод:userinit
Значения этих параметров напишите в своем сообщенииКод:shell
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скачал утилиту, записал образ на диск, в Биосе выбрал СД-ром, сохранил. При запуске мигающая строка прошла и после нее обычная загрузка Виндовс с вирусом... В чем проблема?
Добавлено через 54 минуты
Ап
Последний раз редактировалось DoubleD; 06.07.2011 в 17:04. Причина: Добавлено
Скачали именно ту версию, которая соответствует Вашей системе?
Paula rhei.
Поддержать проект можно тут
Как именно записали образ?
Нужно создать из него загрузочный диск, а не просто положить на болванку.
Например в Неро - меню Рекордер - Записать образ.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
На зараженном компьютере стоит Xp sp3, вот и качал версию 2005
Записал образ правильно, через программу NTI. Сейчас попробую перезаписать еще раз...
Добавлено через 50 минут
Параметр userinit:
C:\WINDOWS\system32\userinit.exe,
Параметр shell:
C:\Documents and Settings\All users\Application Data\22CC6C32.exe
Последний раз редактировалось DoubleD; 06.07.2011 в 20:00. Причина: Добавлено
1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с сис-темы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache),
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметры: shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано [тут буква вашего диска и путь к системе] C:\WINDOWS\system32\userinit.exe,).
Пробуйте стартовать в проблемной системе и сделать логи по правилам
Последний раз редактировалось миднайт; 06.07.2011 в 21:36. Причина: :)
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Вобщем, все сделал как нужно.
Прикрепляю логи:
Апну.
Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ (как выполнить):
Повторите лог virusinfo_syscheck.zip и приложите в теме.Код:procedure FixServiceStart(ServiceName:string;); var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName) then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\' + ServiceName + ' исправлено на оригинальное.'); if (RegKeyIntParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'Start') = 0) then begin RegKeyIntParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName,'Start', 2); AddToLog('Тип запуска службы ' + ServiceName + ' переведен в режим Авто.'); end; end; end; end; begin FixServiceStart('wuauserv'); DeleteFile('C:\WINDOWS\system32\cpldapu\produkey.exe'); end.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Вот
Старый лог прикрепили.
Paula rhei.
Поддержать проект можно тут
Сейчас...
пожалуйста.
В AVZ выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\All Users\Application Data\Macromedia\swfupdate\swfupdate.dll',''); BC_ImportAll; BC_QrFile('C:\Documents and Settings\All Users\Application Data\Macromedia\swfupdate\swfupdate.dll'); BC_Activate; RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%systemroot%\system32\svchost.exe -k netsvcs'); RebootWindows(true); end.
После перезагрузки
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Paula rhei.
Поддержать проект можно тут
Прислал.
Добавлено через 5 часов 40 минут
Ап.
Добавлено через 2 часа 17 минут
Мда, уже не смешно становится. Поймал еще вирус - Ddox.ci
Последний раз редактировалось DoubleD; 08.07.2011 в 02:11. Причина: Добавлено
Где вы ухитряетесь их ловить ума не приложу.
Подождите до завтра, нужен ответ аналитика по файлу. Неоднозначен.
Сделайте полное сканирование с помощью avptool и это http://support.kaspersky.ru/faq/?qid=208639606
Paula rhei.
Поддержать проект можно тут
Делаю полную проверку в Kaspersky Virus Removal Tool.
TDSSKiller обнаружил только одну угрозу со стороны sptd.sys
Логи сделать?
Уважаемый(ая) DoubleD, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.