Вирусы пожрали систему!

Printable View

16.08.2011, 14:37
asa89

Вложений: 3

Вирусы пожрали систему!

Проблема такая, после проверки cureit, удалилось кучу вирусов, в месте с ними подключения, остались только локальные. Подключения не создаются, просто заблокирована строчка. Начал ползать по форумам, посоветовали включить службы "Диспетчер подключений удаленного доступа" , у меня он не включается, выдает ошибку "126, не найден заданный модуль" , и "Диспетчер авто-подключений удаленного доступа", которая выдает ошибку "1068 не удалось запустить дочернюю службу".
Ну и логи.
16.08.2011, 14:38
Info_bot

Уважаемый(ая) [B]asa89[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.08.2011, 15:07
V_Bond

установите sp3 + все доступные обновления
18.08.2011, 08:43
asa89

Накатил sp3 и обновления к нему, проблема со службами осталось.
18.08.2011, 13:41
Bratez

Вложений: 1

1. Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=https=ftp=gopher=socks=
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
[/code]

2. Выполните скрипт в AVZ:
[code]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

3. В приложенном архиве reg-файл, распакуйте и запустите двойным щелчком. На запрос о добавлении в реестр ответьте положительно. Проверьте наличие файла [B]\Windows\system32\rasmans.dll[/B], при необходимости восстановите.

4. Перезагрузите компьютер и сделайте новые логи (только п.2 и 3 раздела Диагностика).
18.08.2011, 14:29
asa89

Вложений: 2

Логи
18.08.2011, 15:15
Bratez

Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('goeiozg');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Что с проблемой?
18.08.2011, 15:46
asa89

К сожалению осталась проблема, единственное что служба перешла в ручное включение, а так все по прежнему.
19.08.2011, 16:55
asa89

Благодарю за помощь, пришлось снести систему, вобщем отпала проблема.