Непонятные траблы с виндой при включении компа(нету рабочого стола, и по чти по всему экрану ошибки):(
Printable View
Непонятные траблы с виндой при включении компа(нету рабочого стола, и по чти по всему экрану ошибки):(
Уважаемый(ая) [B]jke[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[b]jke[/b], Здравствуйте!
Выполните скрипт в AVZ при наличии доступа в интернет:
_____________
[CODE]begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.[/CODE]
_______________
После его работы, если будут найдены уязвимости, в блокноте откроется файл [B]avz_log.txt[/B] со ссылками на обновления системы и критичных к безопасности программ, которые нужно [B][COLOR="Red"]загрузить и установить.[/COLOR][/B].
После всех обновлений
________________
1. Отключите временно Антивирус/Фаервол.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Win\lsass.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\DCSCMIN\IMDCSC.exe','');
QuarantineFile('C:\MSDCSC\msdcsc.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\ycbveyed.exe','');
QuarantineFileF('C:\Program Files\qyjjtyum\', '*', true, '', 0, 0);
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\ycbveyed.exe');
DeleteFile('C:\Win\lsass.exe');
DeleteFileMask('C:\Program Files\qyjjtyum\', '*', true);
DeleteDirectory('C:\Program Files\qyjjtyum\');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
[/CODE]
[U]После перезагрузки![/U]
3. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" [U]вверху темы[/U].
[URL="http://virusinfo.info/content.php?r=136-pravila"]Сделайте лог AVZ[/URL] + лог [URL="http://virusinfo.info/showthread.php?t=115256"]RSIT[/URL]
Вот, как я понял некоторые вирусы остались?)
[b]jke[/b], просканируйте сначала компьютер этой утилитой [url]http://support.kaspersky.ru/viruses/solutions?print=true&qid=208636131[/url] , потом отпишитесь о результатах.
в PartyPoker играете ? Если нет рекомендую его удалить, некоторые версии PartyCasino имеют уязвимости. Это дыры в безопасности, позволяющие хакерам атаковать ваш компьютер и получить доступ к вашим финансовым и личным данным.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
- Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
+[B] обязательно смените все пароли ![/B], по окончанию лечения смените ещё раз !
просканируйте сначала компьютер этой утилитой [url]http://support.kaspersky.ru/viruses/...&qid=208636131[/url] , потом отпишитесь о результатах.
Нашло только 1 троян... , всё остальное вроде впорядке.
В базу файл я залил ещё не расшифровали...
Снова начали вылазить ошибки при загрузки компа
пролечитесь как указано в этой теме: [url=http://virusinfo.info/showthread.php?t=15927]Как лечить файловый вирус?[/url], потом сделайте новые логи.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
на время лечения с Live CD не забудьте подключить все съёмные носители.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[quote="regist;925093"]- Проведите процедуру, которая описана в первом сообщении тут[/quote]
отчёт по загруженному вами карантину
[spoiler="Архив 120916_111202_virusinfo_files_MICROSOF-D20E1C_5055b4029396d.zip"]
C:\\Documents and Settings\\Администратор\\Главное меню\\Программы\\Автозагрузка\\ycbveyed.exe: Trojan.Win32.Lebag.akl
C:\\WINDOWS\\system32\\SYSLIB32.DLL: Virus.Win32.Sality.g
C:\\Program Files\\FolderSize\\FolderSizeColumn.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\WinRAR\\rarext.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\UltraISO\\isoshell.dll: Virus.Win32.Nimnul.a
c:\\program files\\google\\update\\googleupdate.exe: Virus.Win32.Sality.h
c:\\documents and settings\\Администратор\\local settings\\application data\\google\\update\\googleupdate.exe: Virus.Win32.Sality.h
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcxm08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpquio08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtao08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpotra08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpotradd.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqrif08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\Unload\\hpnkhTA.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqmif08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpodvd09.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoddcomm09.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusg.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpocxi08.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcob08.dll: Virus.Win32.Nimnul.a
c:\\documents and settings\\Администратор\\Мои документы\\dcscmin\\imdcsc.exe: Backdoor.Win32.DarkKomet.eku
C:\\Documents and Settings\\Администратор\\Local Settings\\Application Data\\Google\\Chrome\\Application\\chrome.exe: Virus.Win32.Sality.h
C:\\MSDCSC\\msdcsc.exe: Virus.Win32.Sality.h
C:\\PROGRA~1\\COMMON~1\\MICROS~1\\DW\\DW20.EXE: Virus.Win32.Sality.h
C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe: Virus.Win32.Sality.h
C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\atiacmxx.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\atiamaxx.dll: Virus.Win32.Nimnul.a
C:\\Program Files\\ATI\\ATICustomerCare\\ATICustomerCare.exe: Virus.Win32.Sality.h
C:\\Program Files\\Ahead\\Nero StartSmart\\NeroStartSmart.exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Adobe\\CS5ServiceManager\\CS5ServiceManager .exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Adobe\\OOBE\\PDApp\\UWA\\UpdaterStartupUtil ity.exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Adobe\\SwitchBoard\\SwitchBoard.exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Apple\\Apple Application Support\\APSDaemon.exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Java\\Java Update\\jusched.exe: Virus.Win32.Sality.h
C:\\Program Files\\Common Files\\Microsoft Shared\\DW\\DW20.EXE: Virus.Win32.Sality.h
C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE: Virus.Win32.Nimnul.a
C:\\Program Files\\Punto Switcher\\ps.exe: Virus.Win32.Sality.h
C:\\Program Files\\Skype\\Updater\\Updater.exe: Virus.Win32.Sality.h
C:\\Program Files\\VistaDriveIcon\\VistaDrv.exe: Virus.Win32.Sality.h
C:\\Program Files\\Windows Media Player\\WMPNetwk.exe: Virus.Win32.Sality.h
C:\\Program Files\\Windows Media Player\\wmplayer.exe: Virus.Win32.Sality.h
C:\\Program Files\\Wireshark\\wireshark.exe: Virus.Win32.Sality.h
C:\\Program Files\\qyjjtyum\\ycbveyed.exe: Trojan.Win32.Lebag.akl
C:\\WINDOWS\\ALCMTR.EXE: Virus.Win32.Sality.h
C:\\WINDOWS\\SkyTel.EXE: Virus.Win32.Sality.h
C:\\WINDOWS\\system32\\NeroCheck.exe: Virus.Win32.Sality.h
C:\\WINDOWS\\system32\\ctfmon.exe: Virus.Win32.Sality.h
C:\\program files\\VolumeControl\\volume.exe: Virus.Win32.Sality.h
D:\\Program Files\\AirPort\\APDiskPrefs.exe: Virus.Win32.Nimnul.a
D:\\Program Files\\IObit\\Advanced SystemCare 5\\ASCTray.exe: Virus.Win32.Sality.h
D:\\Program Files\\Microsoft Office\\Office12\\GrooveMonitor.exe: Virus.Win32.Sality.h
D:\\Program Files\\Sandboxie\\SbieCtrl.exe: Virus.Win32.Sality.h
D:\\Program Files\\Steam\\Steam.exe: Virus.Win32.Sality.h
D:\\Program Files\\Unlocker\\UnlockerAssistant.exe: Virus.Win32.Sality.h
D:\\Program Files\\uTorrent\\UTORRENT.EXE: Virus.Win32.Sality.h
C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe: Virus.Win32.Sality.h[/spoiler]
После збора логов через прогу АВЗ(стандартними скриптами) там видимо что то удалило и Теперь при включении комп'ютера доходит до картинки м надписю добро пожаловать и вибор пользователя( администратор) при выборе польз. Админ начинаетса загрузка и сразу пишет завершения сеанса, тоже самое в безопасном режиме... Что делать:(((
Пока пролечитесь с Live CD
[quote="regist;925312"]пролечитесь как указано в этой теме: Как лечить файловый вирус?,
на время лечения с Live CD не забудьте подключить все съёмные носители.[/quote]
+ запакуйте всю папку AVZ с паролем [COLOR="#FF0000"]virus[/COLOR] загрузите на rghost.ru ссылку на скачивание пришлите мне в личные сообщения.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
папку можно скопировать загрузившись с Live CD
Посоветуйте live cd, 3 перепробивал ничего не вишло... + из-за работи очень ограничен временем, буду иго месяц ченить наверно
[quote="jke;925561"]Посоветуйте live cd, 3 перепробивал ничего не вишло.[/quote]
какие пробовали ? попробуйте от DrWEB
насчёт присланной вами папки, ничего такого в логах не видно. Кстати я правильно понял папки a, b - это со старыми логами, а папка Log это после система перестала запускаться ?
ещё проверьте наличие файла [I]userinit.exe[/I] в папке [I]C:\WINDOWS\system32[/I]
пробую с live cd AVZ не получается,
не запускаються файлы формата ехе ,
не могу выполнить редактирования реестра через файл .рег, при открытии такого формата открывает как обичный текстовый файл
PS папку авз за архивировал и отправил в лс regis
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[QUOTE=regist;925728]какие пробовали ? попробуйте от DrWEB
насчёт присланной вами папки, ничего такого в логах не видно. Кстати я правильно понял папки a, b - это со старыми логами, а папка Log это после система перестала запускаться ?
ещё проверьте наличие файла [I]userinit.exe[/I] в папке [I]C:\WINDOWS\system32[/I][/QUOTE]
да так и есть то старые логи
файл userinit.exe есть
запустил live cd ESET
[quote="jke;925729"]пробую с live cd AVZ не получается,[/quote]
avz бесполезно с Live CD
[quote="jke;925729"]не запускаються файлы формата ехе ,
не могу выполнить редактирования реестра через файл .рег, при открытии такого формата открывает как обичный текстовый файл[/quote]
компьютер включился? а то чтто не запускается это следствие заражения файловым вирусом.
[quote="jke;925729"]запустил live cd ESET[/quote]
не пользовался раньше им... на всякий случай файлы надо именно лечить, а не удалять.
компьютер включается только с live cd, так что мне делать?)
в любом случае сначала пролечить с помощью Live CD просто не уверен, что live от Nod-a сумеет вылечить. Сначала вылечите файловое заражение, а потом будем смотреть дальше.
Кароче проверка нодом не чего не дала, Live cd dr web не ставиться... Лучше я винду переустановалю...
[quote="jke;925901"]Лучше я винду переустановалю...[/quote]
это файловый вирус и после переустановки виндоуса он запросто может вернуться (если где-нибуль останется хоть один заражённый файл).
[quote="jke;925901"]Live cd dr web не ставиться.[/quote]
что значит не ставиться ? его не ставить надо, а записывать на диск и сканировать загрузившись с диска. Не получается с вебом, попробуйте касперского.
зелёный экран с надписью "Preparing the LiveCD environment..... Press Alt+F1 for verbose mode."* при запуске веба,
Но ведь после переустоновки видны я смогу запустить avz и отправить вам логи и без таких сложностей как сейчас почистить?
[quote="jke;925969"]Но ведь после переустоновки видны я смогу запустить avz и отправить вам логи и без таких сложностей как сейчас почистить?[/quote]
логи отправить сможете, но AVZ бессилен против файлового вируса, повторю что если останется хоть один заражённый файл, то всё начнётся с начала, так что для начала надо в любом случае его вылечить просканировав с Live CD [SIZE=1](либо надо удалять все заражённые файлы, с потерей информации)[/SIZE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\ycbveyed.exe - [B]Trojan.Win32.Lebag.akl[/B] ( DrWEB: Trojan.MulDrop1.64009, BitDefender: Trojan.Generic.KDV.124809, NOD32: Win32/Ramnit.A virus, AVAST4: Win32:Kryptik-HRR [Trj] )[*] c:\\win\\lsass.exe - [B]Virus.Win32.Sality.h[/B] ( DrWEB: Win32.HLLP.Sector.28332, NOD32: Win32/Sality.NAB virus, AVAST4: Win32:Sality )[/LIST][/LIST]