При запуске Windows появляется окно с выбором способа загрузки, причем компьютер в обычном режиме не запускается, только в безопасном. Помогите разобраться. Логи прилагаются.
При запуске Windows появляется окно с выбором способа загрузки, причем компьютер в обычном режиме не запускается, только в безопасном. Помогите разобраться. Логи прилагаются.
Уважаемый(ая) sevkiti, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\gigalan.txt',''); DeleteFile('C:\WINDOWS\gigalan.txt'); //**отсутствует в системе DeleteService('SPIDER'); DeleteService('SPIDERNT'); DeleteFile('C:\DOCUME~1\7655~1\0016~1\9B02~1\spidernt.exe'); DeleteFile('C:\DOCUME~1\7655~1\0016~1\9B02~1\spider.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpIDerNT'); ExecuteWizard('TSW',2,2,true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.
Пофиксите при помощи hijackthis:
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.alawar.ru/?pid=11724 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.alawar.ru/?pid=11724 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
Спасибо, вам огромное. Компьютер загрузился. Сделала повторно логи - высылаю.
Рано еще благодарить.
Подготовьте такой отчет: http://virusinfo.info/showthread.php?t=40118
Здравствуйте!!! Высылаю логи с руткинской программы. Жду дальнейших действий.
Дубль 2
Ясно. Запустите эту утилиту. Дождитесь, пока она закончит работу и предложит нажать любую клавишу. После, перезугрузите компьютер и сделайте новый отчет syscheck (стандартный скрипт 2).
Извиняюсь, а у "этой" утилиты название есть?
скрипт 2
- - - Добавлено - - -
Ссылки на слове не было)))
И вы ничего не сделали? Если нет, вот отдельно ссылка: http://media.kaspersky.com/utilities...ties/RU/kk.exe
Экономьте время!
Дождалась пока программа попросит нажать любую клавишу, сделала скрипт и отправила вам. Не увидели что-ли?
1. Откройте Блокнот и скопируйте в него текст скрипта
2. Нажмите Файл - Сохранить какКод:88dfxdwb.exe -del service frbfkgr 88dfxdwb.exe -del service uoqfceb 88dfxdwb.exe -del service ylbozcf 88dfxdwb.exe -del file "C:\WINDOWS\system32\anjjbjy.dll" 88dfxdwb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\frbfkgr" 88dfxdwb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uoqfceb" 88dfxdwb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ylbozcf" 88dfxdwb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\frbfkgr" 88dfxdwb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\uoqfceb" 88dfxdwb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ylbozcf" 88dfxdwb.exe -reboot
3. Выберите ту папку, где находится 88dfxdwb.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\gigalan.txt - Trojan-Banker.Win32.Qhost.abpj ( DrWEB: Trojan.Hosts.5268, BitDefender: Trojan.Agent.AYEN )
Уважаемый(ая) sevkiti, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.