При запуске Windows появляется окно с выбором способа загрузки, причем компьютер в обычном режиме не запускается, только в безопасном. Помогите разобраться. Логи прилагаются.
Printable View
При запуске Windows появляется окно с выбором способа загрузки, причем компьютер в обычном режиме не запускается, только в безопасном. Помогите разобраться. Логи прилагаются.
Уважаемый(ая) [B]sevkiti[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B][URL=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ:[/URL][/B]
[CODE]
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\gigalan.txt','');
DeleteFile('C:\WINDOWS\gigalan.txt');
//**отсутствует в системе
DeleteService('SPIDER');
DeleteService('SPIDERNT');
DeleteFile('C:\DOCUME~1\7655~1\0016~1\9B02~1\spidernt.exe');
DeleteFile('C:\DOCUME~1\7655~1\0016~1\9B02~1\spider.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpIDerNT');
ExecuteWizard('TSW',2,2,true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Файл [B]quarantine.zip[/B] пришлите нам, используя ссылку [B]"прислать запрошенный карантин"[/B] над первым сообщением в этой теме.
Пофиксите при помощи hijackthis:
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.alawar.ru/?pid=11724
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.alawar.ru/?pid=11724
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)[/CODE]
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.
Спасибо, вам огромное. Компьютер загрузился. Сделала повторно логи - высылаю.
Рано еще благодарить.
Подготовьте такой отчет: [url]http://virusinfo.info/showthread.php?t=40118[/url]
Здравствуйте!!! Высылаю логи с руткинской программы. Жду дальнейших действий.
Что-то вы не так сделали. Запустите gmer от имени администратора и повторите проверку.
Дубль 2
Ясно. Запустите [B][URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/kk.exe"]эту[/URL][/B] утилиту. Дождитесь, пока она закончит работу и предложит нажать любую клавишу. После, перезугрузите компьютер и сделайте новый отчет syscheck (стандартный скрипт 2).
Извиняюсь, а у "этой" утилиты название есть?
А Вы нажмите на слово "эту" :)
скрипт 2
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Ссылки на слове не было)))
[quote="sevkiti;965184"]Ссылки на слове не было)))[/quote]
И вы ничего не сделали? Если нет, вот отдельно ссылка: [url]http://media.kaspersky.com/utilities/VirusUtilities/RU/kk.exe[/url]
Экономьте время!
Дождалась пока программа попросит нажать любую клавишу, сделала скрипт и отправила вам. Не увидели что-ли?
1. Откройте [b]Блокнот[/b] и скопируйте в него текст скрипта
[CODE]88dfxdwb.exe -del service frbfkgr
88dfxdwb.exe -del service uoqfceb
88dfxdwb.exe -del service ylbozcf
88dfxdwb.exe -del file "C:\WINDOWS\system32\anjjbjy.dll"
88dfxdwb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\frbfkgr"
88dfxdwb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uoqfceb"
88dfxdwb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ylbozcf"
88dfxdwb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\frbfkgr"
88dfxdwb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\uoqfceb"
88dfxdwb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ylbozcf"
88dfxdwb.exe -reboot[/CODE]2. Нажмите [b]Файл - Сохранить как[/b]
3. Выберите ту папку, где находится [b]88dfxdwb.exe[/b] (gmer)
4. Укажите [b]Тип файла[/b] - [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]cleanup.bat[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите [b]cleanup.bat[/b]
[color="red"][b]ВНИМАНИЕ:[/b][/color] Компьютер перезагрузится!!!
Сделайте новый лог gmer
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\gigalan.txt - [B]Trojan-Banker.Win32.Qhost.abpj[/B] ( DrWEB: Trojan.Hosts.5268, BitDefender: Trojan.Agent.AYEN )[/LIST][/LIST]