не загружается рабочий стол

Printable View

15.06.2009, 14:06
ggoo

не загружается рабочий стол

была какая-то реклама с просьбой смс оплаты
в итоге рабочий стол не грузиться
explorer не запускается
15.06.2009, 14:18
Bratez

[b]Отключите восстановление системы![/b]
(для этого запустите [i]sysdm.cpl[/i])

Пофиксите в HijackThis:
[code]
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\twex.exe,c:\windows\system32\twext.exe,
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\twext.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [userinit] C:\WINDOWS\system32\twext.exe (User 'Default user')
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\WINDOWS\gmer.dll','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\Documents and Settings\mi\Local Settings\Temporary Internet Files\Content.IE5\697C5CJ6\xyyandex.net.img_neb1[1].js');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=47959[/url]).
Сделайте новые логи.
15.06.2009, 14:45
ggoo

спасибо огромное

карантин выслал

логи прилагаю
15.06.2009, 17:16
ggoo

опять неубиваемое окно с смс просьбой

что делать?
логи прилагаю
15.06.2009, 18:54
AndreyKa

Скачайте файл [url]http://narod.ru/disk/9487011000/avz-poly.exe.html[/url] (это более свежая версия AVZ, но в ней не обновляются базы). Сохраните его в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
15.06.2009, 19:04
ggoo

спасибо
15.06.2009, 19:28
AndreyKa

Не за что. В логе нет ничего подозрительного.
16.06.2009, 15:45
ggoo

снова реклама с просьбою денег

уж и не знаю как быть

снова реклама с просьбою денег

в safe mode этого нет

что посоветуете
16.06.2009, 16:40
ggoo

в нормальном режиме, где-то через ~10 мин появляется окно

если зайти в панель упр - брэндмауер - не активны переключатели
16.06.2009, 17:30
AndreyKa

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\mi\application data\sbqvt.exe','');
DeleteFile('c:\documents and settings\mi\application data\sbqvt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\spidernt','EventMessageFile');
SysCleanAddFile('C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Установите обновления безопасности. Начать лучше с Service Pack 3 на Windows (может потребоваться активация).
16.06.2009, 17:50
ggoo

спасибо
карантин отослал
лог

буду наблюдать
16.06.2009, 18:00
AndreyKa

Троян удален.
[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKCU\..\Run: [wsock] C:\Documents and Settings\mi\Application Data\sbqvt.exe [/quote]
16.06.2009, 18:09
ggoo

офигительное спасибо !

тем не менее
в панели упр - брэндмауер - все переключатели не активны
16.06.2009, 18:14
AndreyKa

В AVZ меню Файл - Восстановление системы - отметьте галочкой строку:
Удаление всех Policies ...
[Выполнить].

Помогло?
16.06.2009, 19:05
ggoo

пофиксил

polices убрал

переключ не активизировались

попробую перезагрузку

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

[QUOTE=AndreyKa;417838]В AVZ меню Файл - Восстановление системы - отметьте галочкой строку:
Удаление всех Policies ...
[Выполнить].

Помогло?[/QUOTE]

ПОМОГЛО !
17.06.2009, 19:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\mi\application data\sbqvt.exe - [B]Trojan-Ransom.Win32.SMSer.cn[/B] ( DrWEB: Trojan.Winlock.105 )[*] c:\windows\system32\msvcrt57.dll - [B]Trojan-Downloader.Win32.Small.alhh[/B][*] c:\windows\system32\twext.exe - [B]Trojan-Banker.Win32.Agent.po[/B] ( BitDefender: Gen:Trojan.Heur.Dropper.2241BEBEBE )[/LIST][/LIST]