Здравствуйте. Обращаюсь к вам вновь с новой проблемой. Появился баннер на весь рабочий стол. На подозрительные сайты уже не захожу давно, как словил - не знаю. Ни логов, ни сканов сделать не могу т.к. Все заблокировано. Помогите пожалуйста.
Printable View
Здравствуйте. Обращаюсь к вам вновь с новой проблемой. Появился баннер на весь рабочий стол. На подозрительные сайты уже не захожу давно, как словил - не знаю. Ни логов, ни сканов сделать не могу т.к. Все заблокировано. Помогите пожалуйста.
Уважаемый(ая) [B]DoubleD[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
[B][COLOR="Red"]I этап[/COLOR][/B] (выполняется на [B]чистой от вирусов[/B] машине)
1. Скачайте на компьютере, [b]с которого сейчас пишете[/b], образ [B]ERD Commander[/B] (для Windows XP - [B]версия 2005 (5.0)[/B], для Vista - [B]версия 2007 (6.0)[/B], для Windows 7 - [B]версия 2009 (6.5)[/B]). Ссылки ищите в Google, например.
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero
[B][COLOR="Red"]II этап[/COLOR][/B] (выполняется на [B]заблокированной[/B] машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь
При загрузке Вы должны указать диск, на который установлена заблокированная система ([URL="http://wiki.drweb.com/index.php/Userinit"]образец[/URL])
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]
[B]параметр[/B]
[code]userinit[/code]
[B]параметр[/B]
[code]shell[/code]
Значения этих параметров напишите в своем сообщении
Скачал утилиту, записал образ на диск, в Биосе выбрал СД-ром, сохранил. При запуске мигающая строка прошла и после нее обычная загрузка Виндовс с вирусом... В чем проблема?
[size="1"][color="#666686"][B][I]Добавлено через 54 минуты[/I][/B][/color][/size]
Ап
Скачали именно ту версию, которая соответствует Вашей системе?
Как именно записали образ?
Нужно создать из него загрузочный диск, а не просто положить на болванку.
Например в Неро - меню Рекордер - Записать образ.
На зараженном компьютере стоит Xp sp3, вот и качал версию 2005
Записал образ правильно, через программу NTI. Сейчас попробую перезаписать еще раз...
[size="1"][color="#666686"][B][I]Добавлено через 50 минут[/I][/B][/color][/size]
Параметр userinit:
C:\WINDOWS\system32\userinit.exe,
Параметр shell:
C:\Documents and Settings\All users\Application Data\22CC6C32.exe
1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с сис-темы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache),
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметры: [B]shell[/B], где должно быть указано [B]explorer.exe[/B] и раздел [B]userinit[/B], где должно быть указано [тут буква вашего диска и путь к системе] C:\WINDOWS\system32\userinit.exe,).
Пробуйте стартовать в проблемной системе и сделать логи по правилам
[QUOTE=Nikkollo;807194]1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с сис-темы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache),
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметры: [B]shell[/B], где должно быть указано [B]explorer.exe[/B] и раздел [B]userinit[/B], где должно быть указано [тут буква вашего диска и путь к системе] C:\WINDOWS\system32\userinit.exe,).
Пробуйте стартовать в проблемной системе и сделать логи по правилам[/QUOTE]
Нету у меня ни дистрибутива, ни компьютера с аналогичной системой. И как поступать далее?
[size="1"][color="#666686"][B][I]Добавлено через 1 час 32 минуты[/I][/B][/color][/size]
Скинул данные файлы один добрый человек. Теперь выполняю действия выше.
Вобщем, все сделал как нужно.
Прикрепляю логи:
Апну.
Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
procedure FixServiceStart(ServiceName:string;);
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName) then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName);
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\' + ServiceName + ' исправлено на оригинальное.');
if (RegKeyIntParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'Start') = 0) then
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName,'Start', 2);
AddToLog('Тип запуска службы ' + ServiceName + ' переведен в режим Авто.');
end;
end;
end;
end;
begin
FixServiceStart('wuauserv');
DeleteFile('C:\WINDOWS\system32\cpldapu\produkey.exe');
end.
[/CODE]
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Вот
Старый лог прикрепили.
Сейчас...
пожалуйста.
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Macromedia\swfupdate\swfupdate.dll','');
BC_ImportAll;
BC_QrFile('C:\Documents and Settings\All Users\Application Data\Macromedia\swfupdate\swfupdate.dll');
BC_Activate;
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%systemroot%\system32\svchost.exe -k netsvcs');
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Прислал.
[size="1"][color="#666686"][B][I]Добавлено через 5 часов 40 минут[/I][/B][/color][/size]
Ап.
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 17 минут[/I][/B][/color][/size]
Мда, уже не смешно становится. Поймал еще вирус - Ddox.ci
Где вы ухитряетесь их ловить ума не приложу.
Подождите до завтра, нужен ответ аналитика по файлу. Неоднозначен.
Сделайте полное сканирование с помощью avptool и это [url]http://support.kaspersky.ru/faq/?qid=208639606[/url]
Делаю полную проверку в Kaspersky Virus Removal Tool.
TDSSKiller обнаружил только одну угрозу со стороны sptd.sys
Логи сделать?