Windows заблокирован!

Printable View

22.08.2012, 10:58
shulkov

Windows заблокирован!

Опять поймал блокировщика на домашнем компе. Похожая ситуация как по предыдущим заявкам NN 122796, 123152. Помогите пожауйста!
Выполнил стандартные процедуры:
параметр userinit D:\WINDOWS\system32\userinit.exe, (запятая)
параметр shell explorer.exe
Выкладываю экспорт веток реестра
22.08.2012, 10:59
Info_bot

Уважаемый(ая) [B]shulkov[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
22.08.2012, 11:02
shulkov

Вложений: 2

Выкладываю экспорт веток реестра
22.08.2012, 11:44
regist

Переименуйте
[CODE]D:\Documents and Settings\user\0.5162048807280518.exe
D:\systemhost\24FC2AE38BF.exe[/CODE]
Заархивируйте оба файла в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

перезагрузитесь и сделайте логи по правилам, [B]по окончанию лечения не забудьте сменить пароли ![/B]
Блокировщик не единственный вирус на вашем компьютере.
22.08.2012, 16:46
shulkov

Как правильно переименовать? Удалять их не нужно?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=regist;919434]Переименуйте
[CODE]D:\Documents and Settings\user\0.5162048807280518.exe
D:\systemhost\24FC2AE38BF.exe[/CODE]
Заархивируйте оба файла в zip архив с паролем [COLOR=Red]virus[/COLOR] и загрузите по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] вверху темы.

перезагрузитесь и сделайте логи по правилам, [B]по окончанию лечения не забудьте сменить пароли ![/B]
Блокировщик не единственный вирус на вашем компьютере.[/QUOTE]

Не могли бы Вы проинструктировать меня поподробнее? Не совсем понял что нужно сделать.
24.08.2012, 09:54
Techno

Переименуйте
[CODE]D:\Documents and Settings\user\0.5162048807280518.exe
D:\systemhost\24FC2AE38BF.exe[/CODE]
в
[CODE]D:\Documents and Settings\user\0.5162048807280518.bak
D:\systemhost\24FC2AE38BF.bak[/CODE]

Попробуйте загрузиться и Сделать логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] (раздел [I]диагностика[/I] п.1-3)
26.08.2012, 11:46
shulkov

Вложений: 3

Переименовал указанные файлы еще до получения Ваших последних инструкций. Назвал их Virus1.exe и virus2.exe. Смог загрузиться но проблематично. Комп очень тормозил. Указанные файлы заархивировал. Но не смог выгрузить так как у меня RAR. Установить WinZip несмог (все висит). Запустил антивирус Касперского. Нашел 14 вирусов.

Сделал Логи. Выгружаю.
26.08.2012, 11:59
thyrex

[quote="shulkov;920380"]Но не смог выгрузить так как у меня RAR[/quote]WinRar позволяет сохранять файлы в zip-архив

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Научитесь все-таки читать внимательно правила и пришлите логи, которые [B]создает сама программа AVZ[/B], а не те, что Вы сами пытаетесь архивировать
26.08.2012, 15:54
shulkov

Вложений: 3

Извиняюсь, напутал. Выкладываю снова.
26.08.2012, 16:15
Techno

Тулбары сами устанавливали? Если нет, то удалите через установка/удаление программ.
[CODE]O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - D:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll
O3 - Toolbar: StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - D:\Program Files\StartNow Toolbar\Toolbar32.dll[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\Documents and Settings\user\0.5162048807280518.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Userinit');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UIHost');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
DeleteFile('D:\systemhost\24FC2AE38BF.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F0EXHZC1I');
DeleteFileMask('D:\systemhost','*',true);
Deletedirectory('D:\systemhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

Файл [B]D:\Documents and Settings\user\0.5162048807280518.exe[/B](или во что Вы его там переименовали) удалите.

- [B]Обновите базы АВЗ[/B] (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите логи.
26.08.2012, 18:22
shulkov

Вложений: 1

Тулбары не устанавливал. Эти программы удалил.
Файл 0.5162048807280518.exe удалил.
Базы АВЗ обновил. Выполнил новые логи. Выкладываю.
26.08.2012, 22:49
Techno

Порядок.

Проблемы какие-нибудь остались?
27.08.2012, 18:09
shulkov

Все в норме. Спасибо!
27.08.2012, 19:19
thyrex

Все пароли смените