Блокирует практически все действия!
Printable View
Блокирует практически все действия!
- Скачайте образ диска [B]ERD Commander[/B] на другом ПК
- Запишите образ на болванку и загрузитесь с этого диска
- Далее: Пуск - Выполнить - erdregedit - enter
- И смотрим в реестре ветку:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
с таким параметром
[CODE]AppInit_DLLs[/CODE]
(значение параметра может быть пустым)
и эту ветку:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]
с параметрами
[CODE]shell[/CODE]
[CODE]userinit[/CODE]
Содержимое этих параметров напишите в своем сообщении
Спасибо!
значение в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows с параметром AppInit_DLLs - пустое,а в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon с параметром shell - значение cmd.exe /k start cmd.exe
[QUOTE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon [/QUOTE]
параметр
[QUOTE] shell [/QUOTE] исправьте на [B]Explorer.exe[/B]
перезагрузитесь, сделайте комплект логов.
исправил, перезагрузился - банер опять появился и не дает открыть AVZ
проверьте еще раз все три параметра из сообщения №2.
AppInit_DLLs - должно быть у Вас пустое
shell - Explorer.exe
userinit - C:\WINDOWS\system32\userinit.exe,(c запятой) если у вас система стоит на диске c
( перепроверил все так! перезагружаюсь - опять та же песня.... загружаюсь с диска в реестре значение shell - cmd.exe /k start cmd.exe, оно что само меняется?
[size="1"][color="#666686"][B][I]Добавлено через 38 минут[/I][/B][/color][/size]
на этом компе зарегистрировано 2а пользователя! под 2ым заходит без банера! что можно сделать?
Попробуйте так:
1. Загрузитесь в безопасном режиме [B]с поддержкой командной строки[/B]
2. Наберите в командной строке [b]regedit[/b], откроется реестр
Теперь какое значение у параметра [B]shell[/B]?
У меня получилось запустить AVZ, вирус вроде убил! Если я пришлю логи?
[QUOTE=Igor_stv;673780] Если я пришлю логи?[/QUOTE]
посмотрим с величайшей радостью...:) Ждем.
Касперский показывает Trojan.Win32.Agent.dxum -из предложенных действий, только пропустить...
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\esp897A.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\Aw13Pam.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\8PSCqYC.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\8PSCqYC.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Aw13Pam.exe');
DeleteFile('C:\WINDOWS\Temp\esp897A.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
сделал
Выполните скрипт в AVZ
[CODE]begin
QuarantineFileF('C:\WINDOWS\system32', '*.exe', false,'', 0, 0, '2.05.2010', '20/07.2010');
end.[/CODE]Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
сделал!
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\sfuqdc.exe
c:\windows\system32\yzzifs.exe
c:\windows\system32\rW39eHH.exe
c:\windows\system32\qzdpqfj.exe
c:\windows\system32\tzekqs.exe
c:\windows\system32\ylyaiw.exe
c:\windows\system32\htfkdc.exe
c:\windows\system32\1Tu5Gvj.exe
c:\windows\system32\OSNy1NC.exe
c:\windows\system32\U2lhs4O.exe
c:\windows\system32\Up1N19H.exe
c:\windows\system32\RtlACXZ.exe
c:\windows\system32\A5aqUAH.exe
c:\windows\system32\ylt6Vc8.exe
c:\windows\system32\infOKs1.exe
c:\windows\system32\ckXmR4D.exe
c:\windows\system32\NSciBcB.exe
c:\windows\system32\Wt3ty1Y.exe
c:\windows\system32\tUmYxeH.exe
c:\windows\system32\VbLu33v.exe
c:\windows\system32\w1taNkR.exe
c:\windows\system32\Qqv6MNB.exe
c:\windows\system32\osItcHq.exe
c:\windows\system32\7wOF0W3.exe
c:\windows\system32\kN52ZNJ.exe
c:\windows\system32\TuV8Ijh.exe
c:\windows\system32\rIQ0cUM.exe
c:\windows\system32\Ix8nFrW.exe
c:\windows\system32\Zo6sD4o.exe
c:\windows\system32\J5xJ9Yr.exe
c:\windows\system32\iU353er.exe
c:\windows\system32\NglLqNi.exe
c:\windows\system32\LhZ32xn.exe
c:\windows\system32\AaSUMIy.exe
c:\windows\system32\nbkhC1W.exe
c:\windows\system32\Z0EBqVV.exe
c:\windows\system32\9mRUCOs.exe
c:\windows\system32\xXRiG1y.exe
c:\windows\system32\cAbewek.exe
c:\windows\system32\Sz9RyI5.exe
c:\windows\system32\Tr6rdYb.exe
c:\windows\system32\JQU24S6.exe
c:\windows\system32\At7wVgw.exe
c:\windows\system32\n3gFJNP.exe
c:\windows\system32\ei7NnxH.exe
c:\windows\system32\27umVtm.exe
c:\windows\system32\56Rffaj.exe
c:\windows\system32\yDFN1BN.exe
c:\windows\system32\BuQV1v4.exe
c:\windows\system32\sqJ5NDo.exe
c:\windows\system32\DESwmyK.exe
c:\windows\system32\QIGFh5P.exe
c:\windows\system32\w4OUwiE.exe
c:\windows\system32\XQRmO5f.exe
c:\windows\system32\wzDhHzE.exe
c:\windows\system32\CU7cwEs.exe
c:\windows\system32\aq1EAKw.exe
c:\windows\system32\JGT657W.exe
c:\windows\system32\J9jcQ0c.exe
c:\windows\system32\IzGiwHx.exe
c:\windows\system32\2AjOYjt.exe
c:\windows\system32\fIJkPpF.exe
c:\windows\system32\sad47N9.exe
c:\windows\system32\3pw55iV.exe
c:\windows\system32\63se5cM.exe
c:\windows\system32\W1OaZ21.exe
c:\windows\system32\SXlmPyl.exe
c:\windows\system32\kJpm8BE.exe
c:\windows\system32\nnNdTkw.exe
c:\windows\system32\5zYWQH4.exe
c:\windows\system32\UGlaAoz.exe
c:\windows\system32\KIAWvaw.exe
Driver::
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
сделал
В логе чисто.
- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
СПАСИБО ОГРОМНОЕ!!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]101[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\temp\esp897a.tmp - [B]Trojan-Dropper.Win32.Shiz.eu[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4366602, AVAST4: Win32:Malware-gen )[*] \\?\globalroot\systemroot\system32\8pscqyc.exe - [B]Trojan.Win32.Agent.dxum[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4032179, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]