-
Junior Member
- Вес репутации
- 51
Рекламный модуль / блокиратор
По порядку:
- внезапно, при ни первом запуске за сессию Opera, появляется рекламный баннер (код M201517522 номер 3381). AVP ни как на него не реагирует. Ореra и IE не запускаются. Не впервые сталкиваясь с подобным запускаю CCleaner, в разделе startup нахожу новую строчку winwoy32.exe с адресом C:\Documents and Settings\...\Главное меню\Программы\Автозагрузка. Радуюсь, открываю указанный путь, но папка пуста (не скрытых, не "системных элементов). Огорчаюсь, но отключаю автозагрузку winwoy32 (потом узнаю, что это Kernel32, мне правда это ни о чём не говорит). Пробую удалить строчку - не удаляется. Перезагружаюсь.
- Система загружается с ошибками, практически ничего из автозагрузки не загружается, в том числе и AVP. При ручном запуске AVP - сообщение о том, что запуск этого програмного... запрещёл параметрами групповой политики. Запускаю gpedit - вылетает через пол секунды.
- Дальше долгая эпопея с попыткой запустить хоть что-нибудь. Ничего из admintools не запускается или сразу закрывается. Запустился только диспечер служб. Служба Касперского отключена. При попытке ручного запуска - система начинает резко завершать работу. Системные менеджеры не запускаются. Диспечер само собой заблокирован. Msconfig запускается, но в нём ничего новго или интересного.
Самое интересное, что баннера-то моего нет всё это время. Появляется он только при попытке запуска браузера. Иногда браузер удаётся запустить и баннер не появляется, иногда не удаётся - появляется.
- при запуске AVZ и hijackthis - экстренное завершение работы.
- hijackthis всё таки успевает закончить лог до выключения - приложил.
Пофиксил
Код:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\Inf\netrsvp.inf:BZM1WD0E82G
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\a28bad12.exe,C:\WINDOWS\system32\3577631a.exe,\\?\globalroot\systemroot\system32\DrlL68o.exe,\\?\globalroot\systemroot\system32\1cJewG1.exe,\\?\globalroot\systemroot\system32\7B84ce6.exe,\\?\globalroot\systemroot\system32\mQtkyWu.exe,
Всё равно, при запуске AVZ - завершение работы.
Совершенно случайно наткнулся в system32 на такую ерунду. Есть подозрение. Что сделать рекомендуете?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пробуем так, переименуйте АВЗ в pong.pif
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\a28bad12.exe,C:\WINDOWS\system32\3577631a.exe,\\?\globalroot\systemroot\system32\DrlL68o.exe,\\?\globalroot\systemroot\system32\1cJewG1.exe,\\?\globalroot\systemroot\system32\7B84ce6.exe,\\?\globalroot\systemroot\system32\mQtkyWu.exe,
O20 - AppInit_DLLs: C:\WINDOWS\Inf\netrsvp.inf:BZM1WD0E82G
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\3577631a.exee','');
QuarantineFile('C:\WINDOWS\system32\a28bad12.exe','');
QuarantineFile('%system32%\DrlL68o.exe','');
QuarantineFile('%system32%\1cJewG1.exe','');
QuarantineFile('%system32%\7B84ce6.exe','');
QuarantineFile('%system32%\mQtkyWu.exe','');
DeleteFile('C:\WINDOWS\system32\a28bad12.exe');
DeleteFile('C:\WINDOWS\system32\3577631a.exe');
DeleteFile('%system32%\DrlL68o.exe');
DeleteFile('%system32%\1cJewG1.exe');
DeleteFile('%system32%\7B84ce6.exe');
DeleteFile('%system32%\mQtkyWu.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
Executerepair(16);
Executerepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 51
shapel, пофиксил уже, говорю. Или вы ничего кроме логов не читаете? Перемименование AVZ результатов не даёт - завершение работы.
Последний раз редактировалось MrRewolwer; 19.05.2010 в 03:39.
-
MrRewolwer, на каких форумах еще создали темы? На оффоруме ЛК выписан очередной рецепт
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Только здесь и там.
Добавлено через 1 час 29 минут
Здаётесь, хелперы? Я тоже...
Последний раз редактировалось MrRewolwer; 19.05.2010 в 03:12.
Причина: Добавлено
-
Сообщение от
MrRewolwer
пофиксил уже, говорю
После фикса и перезагрузки лог повторите.
Сообщение от
MrRewolwer
Меня вот это напрягает
Тут ничего опасного.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Bratez
Тут ничего опасного.
Хорошо.
Лог после фикса.
-
Ничего плохого больше не видно.
А AVZ по-прежнему отказывается работать?
В главном меню HijackThis нажмите Open the Misc Tools section, а там IgnoreList, проверьте, нет ли чего в этом списке игнорирования.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Да! В IgnoreList HijackThis была строчка С:\WINDOWS\Fonts\ONYX.TTF:BZM1WDOE82G. И тут как раз на форуме ЛK мне подсказывают поискать C:\WINDOWS\Inf\netrsvp.inf:BZM1WD0E82G. Netrsvp.inf:BZM1WD0E82G у меня нет, но вот эта "BZM1WD0E82G" мне как бы намекает! Я перемешаю С:\WINDOWS\Fonts\ONYX.TTF:BZM1WDOE82G в другое место и УРА - всё грузится без ошибок, всё запускается! Логи приложил.
!!! Файл ONYX.rar - запароленный архив с ONYX.TTF:BZM1WDOE82G - я его заархивил до того как начал работу AVZ. Пароль: virus
Последний раз редактировалось PavelA; 19.05.2010 в 13:35.
Причина: Лишнее удалено
-
Junior Member
- Вес репутации
- 51
БАМП! (sorry )
-
!!! Файл ONYX.rar - запароленный архив с ONYX.TTF:BZM1WDOE82G - я его заархивил до того как начал работу AVZ. Пароль: virus
- загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 51
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Fonts\ONYX.TTF:BZM1WD0E82G','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GKIYU7G7\QvY76bjEUs3nC5q[1].htm','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XQTCMQNZ\9m6vzrTi1fjg3Bb[1].htm','');
DeleteFile('C:\WINDOWS\Fonts\ONYX.TTF:BZM1WD0E82G');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GKIYU7G7\QvY76bjEUs3nC5q[1].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XQTCMQNZ\9m6vzrTi1fjg3Bb[1].htm');
DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
QuarantineFile('C:\WINDOWS\inf\netrsvp.inf:BZM1WD0E82G:$DATA','');
DeleteFile('C:\WINDOWS\inf\netrsvp.inf:BZM1WD0E82G:$DATA');
DeleteFile('C:\WINDOWS\inf\netrsvp.inf:BZM1WD0E82G');
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp6000.tmp','');
RegSearch('HKLM', '', 'esp6000.tmp');
SaveLog(GetAVZDirectory + 'search.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- файл search.log из папки AVZ прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 51
Up
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\56111306');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\56111306');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\56111306');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp6000.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp6000.tmp');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Вот.
Скрипт выполнен после работы ComboFix. Лог ComboFix на всякий случай приложил.
Последний раз редактировалось MrRewolwer; 19.05.2010 в 13:23.
-
В логах чисто.Что с проблемой?
обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.
-
-
Junior Member
- Вес репутации
- 51
Симптомов никаких, должно быть проблема решена. Спасибо большое, вы супер, сайт супер, я в восторге.
Добавлено через 16 минут
Вот!
AVP по прежнему не запускается:
Невозможно открыть данную программу из-за политики ограничения программного обеспечения. За дополнительной информацией обратитесь к системному администратору. Научите как исправить, пазязя.
Последний раз редактировалось MrRewolwer; 19.05.2010 в 13:55.
Причина: Добавлено
-
Попробуйте табл №6 из AVZ - Файл - "Восст. системы"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
Выполнил
Код:
begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Запустился.
Спасибо огромное!