Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 42.

Нет надписей на кнопках в Windows XP [not-a-virus:RiskTool.Win32.HideExec.r, , Trojan.Win32.FakeGina.do ] (заявка № 146619)

  1. #1
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39

    Нет надписей на кнопках в Windows XP [not-a-virus:RiskTool.Win32.HideExec.r, , Trojan.Win32.FakeGina.do ]

    Здравствуйте. Пропали надписи на кнопках в таких окнах как запуск соединения PPPoE или VPN. То есть сами кнопки "Подключить" "Отмена" пустые. Так же при сохранении файла, нет вводимых символов. При просмотре свойств системы, вкладки тоже пустые, без подписей, хотя первая вкладка с самими свойствами отображается. Cure It побоялся запускать. В прошлый раз с месяц назад после такой проверки начались проблемы с самой ОС. Пришлось восстанавливать с установочного диска. Ещё NOD32 ругался при запуске на Carberp.M. Но не мог почему-то его удалить. А сейчас уже не ругается. Вот не пойму это с ОС проблема или вирусы заполонили.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) lonmi, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Здравствуйте !!!

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      QuarantineFile('C:\WINDOWS.0\system32\xtgina.dll','');
      QuarantineFile('C:\Documents and Settings\Admin\Start Menu\Programs\Startup\start0.exe','');
      QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\ccduouj.exe','');
      QuarantineFile('C:\WINDOWS.0\system32\machineupper32.exe','');
      QuarantineFile('C:\WINDOWS.0\System32\BeTwinServiceXP.exe','');
      QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX04.453\kerneld.wnt','');
      DeleteFile('C:\WINDOWS.0\system32\machineupper32.exe','32');
      DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
      DeleteFile('C:\WINDOWS.0\Tasks\At1.job','32');
      DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE','32');
      DeleteFile('C:\WINDOWS.0\Tasks\At2.job','32');
      DeleteFile('C:\Program Files\DealPly\DealPlyUpdate.exe','32');
      DeleteFile('C:\WINDOWS.0\Tasks\DealPlyUpdate.job','32');
      DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\ccduouj.exe','32');
      DeleteFile('C:\WINDOWS.0\Tasks\ojovbfb.job','32');
      DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

    Пофиксите в HijackThis:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{88281B2D-9F96-4AC5-BF3F-FF6B07DD487A}: NameServer = 80.82.209.180
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
    Последний раз редактировалось mrak74; 01.10.2013 в 10:08. Причина: фикс

  5. #4
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39
    Вроде сделал
    Вложения Вложения

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
      QuarantineFile('C:\Documents and Settings\Admin\Start Menu\Programs\Startup\start0.exe','');
      QuarantineFile('C:\WINDOWS.0\System32\BeTwinServiceXP.exe','');
      QuarantineFile('C:\WINDOWS.0\system32\xtgina.dll','');
      DeleteFile('C:\WINDOWS.0\system32\xtgina.dll','32');
      DeleteFile('C:\Documents and Settings\Admin\Start Menu\Programs\Startup\start0.exe','32');
      DeleteFile('C:\WINDOWS.0\system32\betwinservicexp.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  7. #6
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39
    Спасибо за оперативность. А вот я торможу. Я только завтра смогу проделать эти действия

  8. #7
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39
    Итак.
    Пофиксил строку HijackThis.
    Выполнил скрипт в AVZ, и после перезагрузки выдало сообщение "ошибка пользотельсокого интерфейса" кажется. В окне надпись "DLL xtgina.dll". Внизу одна кнопка. Без надписи. При ее нажатии окно закрывается и через секунд 10 опять перезагрузка. Пару раз так перезагрузился. Потом загрузкился в безопасном режиме и восстановился с контрольной точки за 2 октября. Есть варианты что это было?

    - - - Добавлено - - -

    А. В скрипте похоже удаляется эта библиотека. Может как-то по другому попробуем?

  9. #8
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выложите новые логи.

  10. #9
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39
    Вот:
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS.0\system32\xtgina.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\betwinservicexp.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Start Menu\Programs\Startup\start0.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Start Menu\Programs\Startup\start0.exe','32');
     DeleteFile('C:\WINDOWS.0\system32\xtgina.dll','32');        
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);    
    BC_Activate;
     ExecuteRepair(21);    
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Это C:\WINDOWS.0\system32\betwinservicexp.exe сами себе устанавливали?

    Сделайте новые логи AVZ


    Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  12. #11
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39
    Все отключаю как вы говорите. Учетка в Windows XP используется одна. Администраторская. И....
    Опять та же ситуация, как описано мною выше. То же окно с сообщением "Ошибка пользовательского интерфейса" и в окне "DLL xtgina.dll". Так же кнопка без надписи и перезагрузка при нажатии на нее. Опять восстановился в безопасном режиме.
    Мне после восстановления продолжать выполнять предложенную вами последовательность?
    Цитата Сообщение от mike 1 Посмотреть сообщение

    Это C:\WINDOWS.0\system32\betwinservicexp.exe сами себе устанавливали?
    А что это? Я не знаю даже.

    - - - Добавлено - - -

    Логи опять снял на всякий случай:
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Я просил сделать логи RSIT, а не лог HiJackThis.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. #13
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39
    Хорошо. Я завтра сделаю логи RSIT

  15. #14
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39
    Вот:
    Вложения Вложения
    • Тип файла: txt info.txt (14.1 Кб, 0 просмотров)
    • Тип файла: txt log.txt (30.7 Кб, 2 просмотров)

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;              
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Mjeeeq.exe','');
     QuarantineFileF('C:\Documents and Settings\Admin\Application Data\ujgieauf', '*', true, ' ', 0, 0);
     QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, ' ', 0, 0);
     QuarantineFileF('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus', '*', true, ' ', 0, 0);
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Mjeeeq.exe','32');
     DeleteFile('C:\WINDOWS.0\system32\xtgina.dll','32');
     DeleteFile('C:\WINDOWS.0\System32\BeTwinServiceXP.exe','32');
     DeleteFile('C:\Documents and Settings\Admin\Start Menu\Programs\Startup\start0.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg','Mjeeeq');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\System','Windows Debugger 32');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe','C:\WINDOWS\system32\svchost.exe:*:Enabled:ipsec');
     DeleteFileMask('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, ' ');
     DeleteFileMask('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus', '*', true, ' ');
     DeleteFileMask('C:\Documents and Settings\Admin\Application Data\ujgieauf', '*', true, ' ');
     DeleteDirectory('C:\Documents and Settings\Admin\Application Data\ujgieauf');
     DeleteDirectory('C:\Documents and Settings\All Users\Application Data\IBank');
     DeleteDirectory('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus');
     DeleteService('BeTwinVideo');
     DeleteService('BeTwinSystem');
     DeleteService('BeTwinKeyboard');
     DeleteService('BeTwinMouse');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    MPK-кейлоггер сами устанавливали?

    Сделайте новые логи AVZ, RSIT

    Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. Это понравилось:


  18. #16
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39
    Добрый день.
    Снова после выполнения скрипта и перезагрузки, ошибка "Ошибка пользовательского интерфейса" и не грузится. Восстановил с контрольной точки, опять.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
    При загрузке архива quarantine.zip система ругается, что такой файл уже загружен. А при создании архива карантина из AVZ по правилам Приложения 2, в правой части окна нет файлов для архивирования.
    MPK-кейлоггер сами устанавливали?
    Я думаю очень вряд ли.

    - - - Добавлено - - -

    Сейчас сканирую MBAMом.

    - - - Добавлено - - -

    Вот лог MBAMa. Правда пришлось его запаковать. Полный лог вешал почти 500 КБ, и при загрузке не давало его прикрепить.
    Вложения Вложения

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Удалите (http://windows.microsoft.com/ru-ru/w...-restore-point) все старые точки восстановления системы. После удаления всех точек восстановления системы создайте новую.

    Удалите в MBAM все кроме:

    Код:
    Объекты реестра обнаружены:  1
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> Действие не было предпринято.
    D:\Distr\TheBat_Pro_3.99.29.rar (Trojan.Agent.CK) -> Действие не было предпринято.
    D:\Distr\TheB_K.rar (Trojan.Agent.CK) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  20. #18
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39
    mike 1, а можно я удалю на всякий случай и последние две строки в приведенной вами инструкции. Вот эти:
    D:\Distr\TheBat_Pro_3.99.29.rar (Trojan.Agent.CK) -> Действие не было предпринято.
    D:\Distr\TheB_K.rar (Trojan.Agent.CK) -> Действие не было предпринято.
    Мне эти файлы не нужны

  21. #19
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Если не нужны, можете удалить и эти строки тоже.

  22. #20
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    23
    Вес репутации
    39
    Новый лог
    Вложения Вложения

  • Уважаемый(ая) lonmi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 31.07.2012, 17:42
    2. Ответов: 8
      Последнее сообщение: 22.02.2009, 18:04
    3. Ответов: 10
      Последнее сообщение: 20.02.2009, 19:50
    4. Ответов: 2
      Последнее сообщение: 11.01.2008, 23:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00352 seconds with 20 queries