Printable View
"Windows has detected spyware infection!" и красный крестик в трее.
Прочитал все правила.
Был косперский. Больше не работает. Скачал Др Веб, запустил проверку - он ушел в синий экран. =(
AVZ сперва не запускался. Переименовал и запустил. Обновил базы. Запустил сканирование - синий экран =(
Так что даже не знаю как донести до вас информацию о том, что творится с компом.
Что делать-то??
И да, система, работает нормально вообще. Пока не пытаешь убить этот вирус.
логи где ?
Я об этом и пишу. После того как первый скрипт не прошел я написал Вам сообщение. Поставил аваст. Он проверил всё, но ничего не вылечил. Я думал, вдруг после этого AVZ сможет провести скрипт. Нет, не получилось.
Соответственно прикладываю только те логи, которые удалось получить.
Ничего подозрительного в логах не видно.
Давайте немного наведем порядок -
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Antivirus Pro 2009] "C:\Program Files\AntivirusPro2009\AntivirusPro2009.exe" /hide
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Documents and Settings\Hafling\Главное меню\Программы\Absolute Poker\Absolute Poker.lnk (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Documents and Settings\Hafling\Главное меню\Программы\Absolute Poker\Absolute Poker.lnk (file missing) (HKCU)
[/code]
Выполните скрипт в AVZ:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
[B]Сделайте проверку файловой системы диска C: .[/B]
(Открыть Свойства диска, вкладка Сервис - кнопка Выполнить проверку, поставить галочку "Автоматически исправлять сист. ошибки". Будет предложено запланировать на перезагрузку - согласиться, перезагрузить, дождаться выполнения).
[B]Отмените автоматическую перезагрузку в случае сбоя.[/B]
(Панель управления - Система - вкладка Дополнительно, Загрузка и восстановление - Параметры, снять соотв. галку, ОК).
После этого попробуйте выполнить сканирование. Если получится - логи в студию, если нет - код ошибки с "синего экрана".
Пофиксил, скрипт провел.
Но ошибка осталось. Вообще там не стандартный синий экран смерти Windows, а какой-то тёмно-синий. Единтсвенное читабельное сообщение - IRQL_NOT_LESS_OR_EQUAL. Остальное - нечитабельные кракозябры. И еще цифры в самом низу идут - 1,2,3,4... До конца не жду - перезагружаю комп. Страшно =)
Кстати, вирус больше не беспокоит. Сообщения в трее больше не появляется. Видимо аваст его убил. Но хочется быть уверенным, что это так.
[QUOTE]Единтсвенное читабельное сообщение - IRQL_NOT_LESS_OR_EQUAL.[/QUOTE]
Посмотрите еще раз, там никакое имя файла не упоминается?
При сканировании Аваст останавливали или нет?
В принципе страшного в этом ничего нет.
Кстати, вот этот недостаток настоятельно рекомендуется устранить:
[quote]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/quote]
Установите SP3, есть неплохой шанс, что и проблема исчезнет.