Непонятные траблы с виндой при включении компа(нету рабочого стола, и по чти по всему экрану ошибки)
Непонятные траблы с виндой при включении компа(нету рабочого стола, и по чти по всему экрану ошибки)
Уважаемый(ая) jke, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
jke, Здравствуйте!
Выполните скрипт в AVZ при наличии доступа в интернет:
_____________
_______________Код:begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить..
После всех обновлений
________________
1. Отключите временно Антивирус/Фаервол.
2. Выполните скрипт в AVZ
После перезагрузки!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Win\lsass.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\DCSCMIN\IMDCSC.exe',''); QuarantineFile('C:\MSDCSC\msdcsc.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\ycbveyed.exe',''); QuarantineFileF('C:\Program Files\qyjjtyum\', '*', true, '', 0, 0); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\ycbveyed.exe'); DeleteFile('C:\Win\lsass.exe'); DeleteFileMask('C:\Program Files\qyjjtyum\', '*', true); DeleteDirectory('C:\Program Files\qyjjtyum\'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end.
3. Выполните скрипт в AVZ
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте лог AVZ + лог RSIT
Вот, как я понял некоторые вирусы остались?)
jke, просканируйте сначала компьютер этой утилитой http://support.kaspersky.ru/viruses/...&qid=208636131 , потом отпишитесь о результатах.
в PartyPoker играете ? Если нет рекомендую его удалить, некоторые версии PartyCasino имеют уязвимости. Это дыры в безопасности, позволяющие хакерам атаковать ваш компьютер и получить доступ к вашим финансовым и личным данным.
- - - Добавлено - - -
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
- - - Добавлено - - -
+ обязательно смените все пароли !, по окончанию лечения смените ещё раз !
просканируйте сначала компьютер этой утилитой http://support.kaspersky.ru/viruses/...&qid=208636131 , потом отпишитесь о результатах.
Нашло только 1 троян... , всё остальное вроде впорядке.
В базу файл я залил ещё не расшифровали...
Снова начали вылазить ошибки при загрузки компа
пролечитесь как указано в этой теме: Как лечить файловый вирус?, потом сделайте новые логи.
- - - Добавлено - - -
на время лечения с Live CD не забудьте подключить все съёмные носители.
- - - Добавлено - - -
отчёт по загруженному вами карантину
Архив 120916_111202_virusinfo_files_MICROSOF-D20E1C_5055b4029396d.zip
C:\\Documents and Settings\\Администратор\\Главное меню\\Программы\\Автозагрузка\\ycbveyed.exe: Trojan.Win32.Lebag.akl
C:\\WINDOWS\\system32\\SYSLIB32.DLL: Virus.Win32.Sality.g
C:\\Program Files\\FolderSize\\FolderSizeColumn.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\WinRAR\\rarext.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\UltraISO\\isoshell.dll: Virus.Win32.Nimnul.a
c:\\program files\\google\\update\\googleupdate.exe: Virus.Win32.Sality.h
c:\\documents and settings\\Администратор\\local settings\\application data\\google\\update\\googleupdate.exe: Virus.Win32.Sality.h
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcxm08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpquio08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtao08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpotra08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpotradd.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqrif08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\Unload\\hpnkhTA.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqmif08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpodvd09.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoddcomm09.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusg.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpocxi08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcob08.dll: Virus.Win32.Nimnul.a
c:\\documents and settings\\Администратор\\Мои документы\\dcscmin\\imdcsc.exe: Backdoor.Win32.DarkKomet.eku
C:\\Documents and Settings\\Администратор\\Local Settings\\Application Data\\Google\\Chrome\\Application\\chrome.exe: Virus.Win32.Sality.h
C:\\MSDCSC\\msdcsc.exe: Virus.Win32.Sality.h
C:\\PROGRA~1\\COMMON~1\\MICROS~1\\DW\\DW20.EXE: Virus.Win32.Sality.h
C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe: Virus.Win32.Sality.h
C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\atiacmxx.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\atiamaxx.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\ATI\\ATICustomerCare\\ATICustomerCare.exe: Virus.Win32.Sality.h
C:\\Program Files\\Ahead\\Nero StartSmart\\NeroStartSmart.exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Adobe\\CS5ServiceManager\\CS5ServiceManager .exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Adobe\\OOBE\\PDApp\\UWA\\UpdaterStartupUtil ity.exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Adobe\\SwitchBoard\\SwitchBoard.exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Apple\\Apple Application Support\\APSDaemon.exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Java\\Java Update\\jusched.exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Microsoft Shared\\DW\\DW20.EXE: Virus.Win32.Sality.h
C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE: Virus.Win32.Nimnul.a
C:\\Program Files\\Punto Switcher\\ps.exe: Virus.Win32.Sality.h
C:\\Program Files\\Skype\\Updater\\Updater.exe: Virus.Win32.Sality.h
C:\\Program Files\\VistaDriveIcon\\VistaDrv.exe: Virus.Win32.Sality.h
C:\\Program Files\\Windows Media Player\\WMPNetwk.exe: Virus.Win32.Sality.h
C:\\Program Files\\Windows Media Player\\wmplayer.exe: Virus.Win32.Sality.h
C:\\Program Files\\Wireshark\\wireshark.exe: Virus.Win32.Sality.h
C:\\Program Files\\qyjjtyum\\ycbveyed.exe: Trojan.Win32.Lebag.akl
C:\\WINDOWS\\ALCMTR.EXE: Virus.Win32.Sality.h
C:\\WINDOWS\\SkyTel.EXE: Virus.Win32.Sality.h
C:\\WINDOWS\\system32\\NeroCheck.exe: Virus.Win32.Sality.h
C:\\WINDOWS\\system32\\ctfmon.exe: Virus.Win32.Sality.h
C:\\program files\\VolumeControl\\volume.exe: Virus.Win32.Sality.h
D:\\Program Files\\AirPort\\APDiskPrefs.exe: Virus.Win32.Nimnul.a
D:\\Program Files\\IObit\\Advanced SystemCare 5\\ASCTray.exe: Virus.Win32.Sality.h
D:\\Program Files\\Microsoft Office\\Office12\\GrooveMonitor.exe: Virus.Win32.Sality.h
D:\\Program Files\\Sandboxie\\SbieCtrl.exe: Virus.Win32.Sality.h
D:\\Program Files\\Steam\\Steam.exe: Virus.Win32.Sality.h
D:\\Program Files\\Unlocker\\UnlockerAssistant.exe: Virus.Win32.Sality.h
D:\\Program Files\\uTorrent\\UTORRENT.EXE: Virus.Win32.Sality.h
C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe: Virus.Win32.Sality.hСкрыть
После збора логов через прогу АВЗ(стандартними скриптами) там видимо что то удалило и Теперь при включении комп'ютера доходит до картинки м надписю добро пожаловать и вибор пользователя( администратор) при выборе польз. Админ начинаетса загрузка и сразу пишет завершения сеанса, тоже самое в безопасном режиме... Что делать((
Посоветуйте live cd, 3 перепробивал ничего не вишло... + из-за работи очень ограничен временем, буду иго месяц ченить наверно
какие пробовали ? попробуйте от DrWEB
насчёт присланной вами папки, ничего такого в логах не видно. Кстати я правильно понял папки a, b - это со старыми логами, а папка Log это после система перестала запускаться ?
ещё проверьте наличие файла userinit.exe в папке C:\WINDOWS\system32
пробую с live cd AVZ не получается,
не запускаються файлы формата ехе ,
не могу выполнить редактирования реестра через файл .рег, при открытии такого формата открывает как обичный текстовый файл
PS папку авз за архивировал и отправил в лс regis
- - - Добавлено - - -
да так и есть то старые логи
файл userinit.exe есть
запустил live cd ESET
компьютер включается только с live cd, так что мне делать?)
в любом случае сначала пролечить с помощью Live CD просто не уверен, что live от Nod-a сумеет вылечить. Сначала вылечите файловое заражение, а потом будем смотреть дальше.
Последний раз редактировалось regist; 18.09.2012 в 22:23.
Кароче проверка нодом не чего не дала, Live cd dr web не ставиться... Лучше я винду переустановалю...
это файловый вирус и после переустановки виндоуса он запросто может вернуться (если где-нибуль останется хоть один заражённый файл).
что значит не ставиться ? его не ставить надо, а записывать на диск и сканировать загрузившись с диска. Не получается с вебом, попробуйте касперского.
зелёный экран с надписью "Preparing the LiveCD environment..... Press Alt+F1 for verbose mode."* при запуске веба,
Но ведь после переустоновки видны я смогу запустить avz и отправить вам логи и без таких сложностей как сейчас почистить?
логи отправить сможете, но AVZ бессилен против файлового вируса, повторю что если останется хоть один заражённый файл, то всё начнётся с начала, так что для начала надо в любом случае его вылечить просканировав с Live CD (либо надо удалять все заражённые файлы, с потерей информации)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\ycbveyed.exe - Trojan.Win32.Lebag.akl ( DrWEB: Trojan.MulDrop1.64009, BitDefender: Trojan.Generic.KDV.124809, NOD32: Win32/Ramnit.A virus, AVAST4: Win32:Kryptik-HRR [Trj] )
- c:\\win\\lsass.exe - Virus.Win32.Sality.h ( DrWEB: Win32.HLLP.Sector.28332, NOD32: Win32/Sality.NAB virus, AVAST4: Win32:Sality )
Уважаемый(ая) jke, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.