Появилась какая-то зараза, не могу понять какая :(
Printable View
Появилась какая-то зараза, не могу понять какая :(
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: QXK Olive - {8B93A89B-7332-4B4B-830C-72EB6323D0DB} - C:\WINDOWS\vmgspntbvlw.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\vmgspntbvlw.dll','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\vmgspntbvlw.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(5);
BC_DeleteSvc(' ');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы
- Прикрепите логи к новому сообщению.
после перезагрузки сталкнулся с проблемой логина на сервер. Не логинилось даже под локальным админом. посоветовали добраться до ключа риестра и поправить ...... помогло.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ключ Userinit сменил значение на userinit.exe,Карантин выслал ... сори не могу приатачить логи :(
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
Дубль два неполучился :( нет кнопочки для вложения файлов :( я плакаю
Глючит наш движок, причину найти не можем :(
Логи - в один архив, его - на файлообменник, ссылку - сюда.
Логи выложил вот сюда [url]http://depositfiles.com/files/8170973[/url]
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=Userinit.exe,
O4 - HKCU\..\Run: [\YUR7.exe] C:\Windows\system32\YUR7.exe
O4 - HKCU\..\Run: [\YUR8.exe] C:\Windows\system32\YUR8.exe
O4 - HKCU\..\Run: [\YUR9.exe] C:\Windows\system32\YUR9.exe
O4 - HKCU\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKCU\..\Run: [ANTIVIRUS] C:\Program Files\MicroAV\MicroAV.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\MicroAV\MicroAV.exe','');
QuarantineFile('C:\Windows\system32\YUR9.exe','');
QuarantineFile('C:\Windows\system32\YUR8.exe','');
QuarantineFile('C:\Windows\system32\YUR7.exe','');
QuarantineFile('C:\Windows\system32\YUR6.exe','');
DeleteFile('C:\Windows\system32\YUR6.exe');
DeleteFile('C:\Windows\system32\YUR7.exe');
DeleteFile('C:\Windows\system32\YUR8.exe');
DeleteFile('C:\Windows\system32\YUR9.exe');
DeleteFile('C:\Program Files\MicroAV\MicroAV.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы
- Прикрепите логи к новому сообщению.
Логи лежат здесь [url]http://depositfiles.com/files/8174261[/url]
[size="1"][color="#666686"][B][I]Добавлено через 40 секунд[/I][/B][/color][/size]
Карантин тоже выслал.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=Userinit.exe,
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\MicroAV.cpl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки - повторные логи по п. 2 и 3 Диагностики.
Логи здесь [url]http://depositfiles.com/files/8175472[/url]
Проблем в логах не вижу.
Что скажете?
Проблема осталась ...перед каждой перезагрузкой проверяю риестр .....что-то править ключ userinit НА C:\Documents and Settings\bizon\WINDOWS\SYSTEM32\Userinit.exe Хотя по данному пути еще первый карантин все почистил :( Просматривая сервиса при старте , тоже не нахожу криминала. Но факт остается фактом. :( еще в самом начале проблемы был установлен micro Antivirus2009 заточен типа под windows, но на мескософте нет такого:( меня мучает вопрос ..... Кто и в какой момент правит риестр HKLM\Software\Microsoft\WindowsNT\Currentversion\Winlogon ключ Userinit Остальное все чисто благодарю.
[QUOTE=bizon_big;287906] еще в самом начале проблемы был установлен micro Antivirus2009 [/QUOTE]Это fake. Кто это Вам его порекомендовал? Или Вы имеете ввиду [B]Trend[/B]micro Antivirus2009 ?
Нет ... было написано micro AV2009
[QUOTE=bizon_big;288065]Нет ... было написано micro AV2009[/QUOTE]Это зловред.
а мне не нравиться вот это:
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\bizon\windows\system32\mswsock.dll' missing
Надо исправить.
- запомнить настройки сети.
- AVZ - Файл - восст. системы, п.14,15 отметить. Нажать Выполнить.
после этого повторить лог HijackThis.