Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

T701721200 на номер 8353 (заявка № 79619)

  1. #1
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28

    Exclamation T701721200 на номер 8353

    Вылез банер с такой просьбой...при запуске AVZ...компьютер начинает сам перезагружаться (завершение работы и т.д.)...AVPTool не хочет устанавливаться....как то подобный банер уже на одном компьютере был...решилось разблокировкой банера! ПОдсказали код...не могли бы подсказать какой код ввести? ЧТобы сделать ЛОги! Спасибо!

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    3. Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Содержимое этого параметра напишите в своем сообщении
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28
    он пустой!

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Зайдите через Администрирование и посмотрите еще раз
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28
    А подскажите где скачать ERD Commander...

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Цитата Сообщение от compworld Посмотреть сообщение
    А подскажите где скачать ERD Commander...
    Так Вы смотрели параметр через редактор реестра??? Неудивительно, что ничего не обнаружили

    http://www.google.com.by/search?clie...utf-8&oe=utf-8
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28
    вот...разобрался...строка имеет вид:
    C:\windows\system32\gpedit.msc:fVPzYD

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Выполните с ERD Commander:
    1. Переименуйте указанный файл
    2. Очистите значение параметра AppInit_DLLs
    3. Перезагрузитесь, загрузитесь обычным образом и пробуйте выполнять правила
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28
    не понятен первый пункт! Какой файл и во что переименовывать? Где его искать?

  11. #10
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28
    Получилось сделать логи посли очистки значения параметра AppInit_DLLs...вот логи:
    Вложение 241866

    Вложение 241867

    hijackthis.log
    Последний раз редактировалось compworld; 28.11.2010 в 13:23.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\DlvBvoI.exe,\\?\globalroot\systemroot\system32\aJHdI7a.exe,\\?\globalroot\systemroot\system32\UCVc7SX.exe,\\?\globalroot\systemroot\system32\taM0rfR.exe,
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF6DFC.tmp','');
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF88A2.tmp','');
     QuarantineFile('C:\WINDOWS\Help\conf.chm:fVPzYD:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\ip.bat','');
     QuarantineFile('C:\WINDOWS\TEMP\esp4AC3.tmp','');
     QuarantineFile('\\?\globalroot\systemroot\system32\taM0rfR.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Almeza\StaffLogger\sysdrvmon.exe','');
     DeleteService('Netprotocol');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe','');
     DeleteService('msupdate');
     QuarantineFile('msupdate.sys','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\BarQuery\barquery137.exe','');
     DeleteFile('msupdate.sys');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\taM0rfR.exe');
     DeleteFile('C:\WINDOWS\TEMP\esp4AC3.tmp');
     DeleteFile('C:\WINDOWS\Help\conf.chm:fVPzYD:$DATA');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DFFFA6.tmp');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF88A2.tmp');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF6DFC.tmp');
    ExecuteRepair(20);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  13. #12
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28
    Карантин:
    Файл сохранён как 100529_110936_virus_4c00bdb0f27df.zip
    Размер файла 1075632
    MD5 a285621b1fff83e24b6bdda380b32bb9
    Логи:
    virusinfo_syscheck.zip

    virusinfo_syscure.zip

    hijackthis.log

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('\\?\globalroot\systemroot\system32\taM0rfR.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\UCVc7SX.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\aJHdI7a.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\DlvBvoI.exe','');
     DeleteFile('\\?\globalroot\systemroot\system32\DlvBvoI.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\aJHdI7a.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\UCVc7SX.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\taM0rfR.exe');
     QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
     QuarantineFile('C:\WINDOWS\system32\ip.bat','');
     DeleteService('BarQuery Service');
     QuarantineFile('C:\Program Files\BarQuery\barquery.dll','');
     QuarantineFile('c:\documents and settings\all users\application data\barquery\barquery137.exe','');
     TerminateProcessByName('c:\documents and settings\all users\application data\barquery\barquery137.exe');
     QuarantineFile('c:\program files\barquery\barquery.exe','');
     TerminateProcessByName('c:\program files\barquery\barquery.exe');
     DeleteFile('c:\program files\barquery\barquery.exe');
     DeleteFile('c:\documents and settings\all users\application data\barquery\barquery137.exe');
     DeleteFile('C:\Program Files\BarQuery\barquery.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\BarQuery\barquery137.exe');
     RegSearch('HKLM', '', 'esp4AC3.tmp');
     SaveLog(GetAVZDirectory + 'search.log');
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     DeleteFile('C:\WINDOWS\system32\mssfc.dll');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteRepair(17);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - файл search.log из папки AVZ прикрепите к сообщению

  15. #14
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28
    Карантин:
    Файл сохранён как 100529_114813_quarantine_4c00c6bd50289.zip
    Размер файла 5828
    MD5 6347d0fb7e7b5efc82c3100bf89393ee
    Логи:
    virusinfo_syscheck.zip

    hijackthis.log

    search.log

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    virusinfo_syscheck.zip - старый, новый прикрепите

  17. #16
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28
    virusinfo_syscheck.zip
    только что ещё раз сделал!

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\C9BCE068');
     RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\C9BCE068');
     RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Control\Print\Providers\C9BCE068');
     RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\C9BCE068');
     DeleteFile('C:\WINDOWS\TEMP\esp4AC3.tmp');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  19. #18
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      DeleteFile('C:\WINDOWS\Tasks\security.job');
     DeleteFile('C:\WINDOWS\system32\ip.bat');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  21. #20
    Junior Member Репутация
    Регистрация
    06.06.2009
    Сообщений
    51
    Вес репутации
    28

  • Уважаемый(ая) compworld, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Номер 8353 текст 495629633
      От Foxtrot_1 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 11.07.2010, 17:31
    2. Баннер на номер 8353
      От polundra в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.07.2010, 23:12
    3. 4612532 на номер 8353
      От irina71 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.06.2010, 22:42
    4. смс с текстом 6952652 на номер 8353
      От =serpent= в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.03.2010, 21:50
    5. смс 7488015 на номер 8353
      От troickaya1995 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2010, 06:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00012 seconds with 22 queries