-
Junior Member
- Вес репутации
- 53
get accelerator вместе с черным порнобаннером...
Сначала был акселератор, изменил дату на 3 суток вперед, беспокоить перестал, на следующий день появился, черный порнобанер с тремя картинками и запросом смс.
Инструкцию прочитал, далее по этапам.
Подготовка:
скачал AVP, HJ, AVZ.
CureIt не качал, потому как ноут колхозный.
После загрузки инструментов:
1) У меня MC Affee, update не запускается.
2) AVP в safe mode запустить не смог. После запуска любого исполняемого файла -перезагружается.
3) AVZ - не запускается
4) HJ - сохранил
5) восстановление системы по указанному алгоритму отключить не могу, так, как после выбора "свойств" ничего не происходит.
6) от инета отключился, антивирус выгрузить не могу, так, как в левом нижнем углу экрана ярлыка нет. Диспетчер задач: кнопка светлосерая, не нажимается
Диагностика
1) не запускается
2) -//-
3) HJ запустился, лог прилагаю
Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от сети.
Пофиксте в HijackThis следующие строки:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Min stor proj. - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - comd32.dll (file missing)
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\atrubnikov\cftmon.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\kurdw.dll
Перезагрузите компьютер.
Сделайте новый лог HijackThis и приложите сюда.
Деинсталлируйте MC Affee.
Попробуйте сделать логи AVZ по Правилам.
Последний раз редактировалось Rene-gad; 05.12.2009 в 11:21.
Причина: code instead of quote ;)
-
-
Junior Member
- Вес репутации
- 53
Пофиксил, новый лог HJ ниже:
-
Уже лучше.
Сообщение от
aqualang
AVP в safe mode запустить не смог.
В Нормальном режиме пробовали запускать?
AVZ запускается?
-
-
Junior Member
- Вес репутации
- 53
Есть возможность обойтись без деинсталляции Mc Afee? Он лицензионный, а диск в офисе в 700 км...
Добавлено через 46 секунд
В нормальном режиме запустился, вроде работает
Добавлено через 1 минуту
Есть ли смысл пробовать запускать AVZ без деинстала MC Afee?
Последний раз редактировалось aqualang; 05.12.2009 в 13:55.
Причина: Добавлено
-
Сообщение от
aqualang
Есть ли смысл пробовать запускать AVZ без деинстала MC Afee?
Попробуйте. Известно, что они конфликтуют. MC Afee надо выгрузить (перевести в не активное состояние.)
-
-
Junior Member
- Вес репутации
- 53
AVP запускается
Добавлено через 5 минут
AVZ тоже запускается, что сначала? Вроде по инструкции сначала AVP?
Последний раз редактировалось aqualang; 05.12.2009 в 14:06.
Причина: Добавлено
-
Поздновато вы инструкцию стали читать. Тему надо было создавать после проверки AVP. Так что, теперь уже всё равно.
-
-
Junior Member
- Вес репутации
- 53
AVP и AVZ не запускались, только HJ, теперь все сначала делаю, по инструкции.
-
Больше дела, меньше слов.
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-4012037360-6940706631-187612007-1741\hdav.exe','');
QuarantineFile('D:\setupSNK.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drivers\mfehidk.sys','');
QuarantineFile('c:\windows\system32\services.exe','');
QuarantineFile('C:\WINDOWS\system32\kurdw.dll','');
DeleteFile('C:\WINDOWS\system32\kurdw.dll');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\setupSNK.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4012037360-6940706631-187612007-1741\hdav.exe');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.
Закачайте карантин по красной ссылке вверху. Повторите логи
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин по красной ссылке вверху. Повторите логи
-
-
Junior Member
- Вес репутации
- 53
На всякий случай, напоминаю, у меня MC Affee, деинсталировать не могу, лицензия, комп служебный. Перед включением avz, деактивирую. Новые логи.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Schedule');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось aqualang; 07.12.2009 в 22:42.
-
Junior Member
- Вес репутации
- 53
-
Выгрузите установленные у вас защитные программы (антивирус, брандмаузер и т.д.) . Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS');
BC_ImportALL;
BC_DeleteSvc('UIUSys');
BC_DeleteSvc('Schedule');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин по красной ссылке вверху. Повторите логи
-