Заблокирована Windows
Добрый вечер.
Проблема как у AlexeyK, тема Вчера вирус заблокировал windows.
Сначала тоже выдавало окно с просьбой отправить СМС. Загрузился с iNFR@ CD. В корне диска C нашел левый (уверен в том, что он левый, т.к. отслеживаю регулярно наличие гадости в скрытых и системных файлах в корне системного диска) файл, название состояло из 3-х букв, дословно не помню, расширение .bat. Снес его и с этого момента при загрузке ситуация, описанная в цитате.Сообщение от AlexeyK
Сканы сделаны тоже с инфры.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Следовательно и логи сняты с инфры, а не вашей системы.Сканы сделаны тоже с инфры.
Загрузитесь с LiveCD , подключите реестр через загрузку куста,
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
Теперь, если к примеру вам нужен параметр
HKLM\SoftWare\Microsoft\Windows NT\Winlogon\Userinit -
это будет:
HKEY_USERS\MyHive\Microsoft\Windows NT\Winlogon\Userinit
закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст).
проверьте параметр Userinit, д.б.
с запятой на конце.Код:"Userinit"="C:\WINDOWS\system32\userinit.exe,
Так же проверьте наличие файлав вашей системе. Если его нет, то копируйте его из дистрибутива, либо с любой другой аналогичной системы.Код:C:\WINDOWS\system32\userinit.exe
Если всё получится, то делайте логи по правилам.
Если нет, то сообщите.
Последний раз редактировалось light59; 08.07.2009 в 09:29. Причина: очепятка...
light59, спасибо, был косяк в параметре Userinit.
Теперь пускает в систему.
C:\WINDOWS\system32\userinit.exeна месте.
Логи вставлю в это сообщение, отредактировав его потом.
UPD
Логи нормальные, только по поводу
не знаю.Код:spka.sys
Последний раз редактировалось GRAF; 08.07.2009 в 01:35.
sp**.sys - это эмулятор дисков.Логи нормальные, только по поводу spka.sys
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); BC_DeleteSvc('getPlus(R) Helper'); QuarantineFile('C:\Program Files\teXet\DelDrv.exe',''); QuarantineFile('getPlus(R) Helper.sys',''); QuarantineFile('C:\WINDOWS\system32\dsnpstd2.dll',''); BC_ImportquarantineList; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=49509
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\texet\deldrv.exe - not-a-virus:RiskTool.Win32.Deleter.e
Уважаемый(ая) GRAF, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
