Баннер

Printable View

26.04.2011, 20:41
ROBOTRON

Баннер

Обычный баннер.
Запускал CureIt,пишет что ничего не нашёл.
Даже незнаю что ещё сказать.
Успел сделать только логи AVZ,HiJackThis не успел
26.04.2011, 21:16
Nikkollo

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\Users\74F0~1\AppData\Local\Temp\0.467605112886744.exe','');
QuarantineFile('D:\ProgramData\22CC6C32.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('D:\ProgramData\22CC6C32.exe');
DeleteFile('D:\Users\74F0~1\AppData\Local\Temp\0.467605112886744.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
26.04.2011, 21:30
ROBOTRON

Простите,я забыл пометить то что из-под обычной учётной записи зайти нельзя.
В безопасном режиме висит баннер.Только LiveCD
26.04.2011, 21:45
Nikkollo

Как работать с системным реестром другой системы, загрузившись с LiveCD:
[url]http://virusinfo.info/showthread.php?t=72176[/url]

Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]
[B]параметр[/B]
[code]userinit[/code]
[B]параметр[/B]
[code]shell[/code]
[B]ветка[/B]
[CODE]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B]
[CODE]AppInit_DLLs[/CODE]
Содержимое этих параметров напишите в своем сообщении.
26.04.2011, 22:06
ROBOTRON

Userinit=D:\ProgramData\22CC6C32.exe
Shell=D:\ProgramData\22CC6C32.exe
AppInit_DLLs такого не нашёл.
26.04.2011, 23:51
thyrex

[QUOTE='ROBOTRON;785868']Userinit=D:\ProgramData\22CC6C32.exe
[/QUOTE]Исправьте на [QUOTE][B]D:\system32\userinit.exe,[/B][/QUOTE]

[QUOTE='ROBOTRON;785868']Shell=D:\ProgramData\22CC6C32.exe[/QUOTE]Исправьте на [QUOTE][B]explorer.exe[/B][/QUOTE]

После этого загружайтесь и делайте логи
27.04.2011, 08:01
ROBOTRON

Логи
27.04.2011, 11:10
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
WhatService('hnkeymbj');
QuarantineFile('D:\system32\userinit.exe','');
QuarantineFile('D:\Windows\jusched.exe','');
QuarantineFile('D:\Users\74F0~1\AppData\Local\Temp\0.467605112886744.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('D:\Users\74F0~1\AppData\Local\Temp\0.467605112886744.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SaveLog(GetAVZDirectory+'hnkeymbj.log');
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])
- файл [COLOR="Blue"][B]hnkeymbjs.log[/B][/COLOR] прикрепите к сообщению
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
27.04.2011, 15:56
ROBOTRON

Автозагрузка по прежнему не работает
Игры не работают
27.04.2011, 21:43
ROBOTRON

Простите за назойливость,но решаете ли вы мою проблему?
И скажите,может мне лучше переустановить систему?
28.04.2011, 00:37
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\system32\userinit.exe','');
QuarantineFile('D:\Windows\jusched.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте лог [url="http://virusinfo.info/showpost.php?p=351873&postcount=1"]gmer[/url]
28.04.2011, 08:15
ROBOTRON

D:\system32\userinit.exe
Может здесь надо было указать путь к файлу по другому?
D:\Windows\system32\userinit.exe?
Лог сделал неполный т.к. утром времени мало,сделаю полный ближе к вечеру,а также неполный лог не удалось прикрепить по причине "Ваш файл занимает 1.45 Мб байт, что превышает предел на форуме в 488.3 Кб для этого типа файла."
28.04.2011, 09:03
thyrex

[QUOTE='ROBOTRON;786199']Может здесь надо было указать путь к файлу по другому?[/QUOTE]Так в Ваших логах. Пока это только карантин

[QUOTE='ROBOTRON;786199']"Ваш файл занимает 1.45 Мб байт, что превышает предел на форуме в 488.3 Кб для этого типа файла."[/QUOTE]Почистите вложения через Мой кабинет

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=D:\system32\userinit.exe[/CODE]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Ждем лог МВАМ
28.04.2011, 20:49
ROBOTRON

Проблема решена,фикс помог,вирусы удалены MBAM'ом,но программа не сохранила лог.Обязательно ли делать повторный лог?
28.04.2011, 20:54
Nikkollo

Если аномального поведения не наблюдается, то не обязательно.
28.04.2011, 23:12
thyrex

Лог gmer хотелось бы увидеть
29.04.2011, 15:02
ROBOTRON

Лог не могу сделать т.к. каждые 30-50 минут отключают свет на 2-3 минуты,по причине профилактики(-_- и что она им сдалась)
Это можно будет сделать через 2-3 дня
29.04.2011, 16:10
thyrex

Сделаете, когда сможете.
30.04.2011, 16:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\users\\74f0~1\\appdata\\local\\temp\\0.467605112886744.exe - [B]Trojan-Ransom.Win32.PornoBlocker.zrs[/B] ( DrWEB: Trojan.Winlock.3090, BitDefender: Trojan.Generic.KDV.204079, AVAST4: Win32:Malware-gen )[/LIST][/LIST]