-
Junior Member
- Вес репутации
- 50
Вы посетили страничку гей порно, и.т.д. номер билайн 400р......
Лечу комп. При запуске открывается окошко закрывающее весь раб стол пополните счет аб.бил. на 400р.
Почистил лайвсиди Др.веб. После перезагрузки появляется картинка рабочего стола и ничего более не видно
Диспетчер забл администраторов, безопасный режим в уводит машину в перезагрузку...
Win+E и др.сочетания не работают...подскажите какие еще манипуляции с ним произвести........
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 50
userinit
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\88cc553c.exe,C:\WINDOWS\system32\hpmqlb.exe,C:\ WINDOWS\system32\4b0795cc.exe,C:\WINDOWS\system32\ yeblbl.exe,
shell
C:\Documents and Settings\User\Local Settings\Application Data\Opera\Opera\temporary_downloads\vip_porno_617 93.avi.exe
-
оставте следующее
userinit
C:\WINDOWS\system32\userinit.exe,
shell
Explorer.exe
перезагрузитесь и попробуйте сделать логи по правилам
-
-
Junior Member
- Вес репутации
- 50
исправил раб стол аоявился сейчас сделаю логи!
-
Junior Member
- Вес репутации
- 50
Последний раз редактировалось thyrex; 27.10.2011 в 20:13.
-
Junior Member
- Вес репутации
- 50
и еще не открываются некоторые сайты в том числе сайты антиврусов
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
QuarantineFile('C:\WINDOWS\system 32\88cc553c.exe','');
QuarantineFile('C:\WINDOWS\system32\hpmqlb.exe','');
QuarantineFile('C:\ WINDOWS\system32\4b0795cc.exe','');
QuarantineFile('C:\WINDOWS\system32\ yeblbl.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Opera\Opera\temporary_downloads\vip_porno_617 93.avi.exe','');
DeleteFile('C:\WINDOWS\system 32\88cc553c.exe');
DeleteFile('C:\WINDOWS\system32\hpmqlb.exe');
DeleteFile('C:\ WINDOWS\system32\4b0795cc.exe');
DeleteFile('C:\WINDOWS\system32\ yeblbl.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Opera\Opera\temporary_downloads\vip_porno_617 93.avi.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
скрипты выполнил !
сделал логи !
файл выгрузил 101014_142413_quarantine_4cb6da4dc995b.zip
Последний раз редактировалось thyrex; 27.10.2011 в 20:14.
-
папки C:\Program Files\Common Files\wm, C:\Program Files\Common Files\pkr и файл C:\Program Files\Common Files\keylog.txt - удалите вручную
В остальном подозрительного нет.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Junior Member
- Вес репутации
- 50
поставил антивирус нод32 обновил
при скане нашел на винте в папке \windows\system32\autorun.i
и autorun.in
Win32/Tifaut.C червь
удалил!
СПАСИБО Большое
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows.o
-