хех, Вебер не помог, толькоя зашел в винду и запустил avz как появился банер! пробовал с полиморфным. что теперь то делать...
Printable View
хех, Вебер не помог, толькоя зашел в винду и запустил avz как появился банер! пробовал с полиморфным. что теперь то делать...
Если Hijack запускается, пофиксите следующие строки:
[CODE]O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/CODE]
Затем пробуйте сделать логи АВЗ
после проделанных манипуляций комп перестал грузить винду, доходит доокна загрузки жесткого и возвращается на экран загрузки девайсов-памяти там и т.д. зато Др.Веб грузит свою оболочку на ура.
В безопасном режиме можете загрузиться?
при F8 выдается только вариант загрузки носителей, до экрана с выбором вариантов загр.винды не доходит. Пока что запустил повторно Др.Веб сканер через оболочку он ...\Local Settings\Temp\jar cache...zip нашел 2 файла infected Exploit.CVE2008 и еще один схожий зип тоже с двумя файлами. подожду пока маленько.
[QUOTE=Мирослав;519158]после проделанных манипуляций комп перестал грузить винду...[/QUOTE]
Попробуйте воспользоваться консолью восстановления [URL]http://support.microsoft.com/kb/307654/ru[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]
Попробуйте выполнить эту инструкцию [URL]http://shkolazhizni.ru/archive/0/n-2153/[/URL]
хмм, я же могу сделать в этой винде ( с которой пишу) загрузочный диск для восстановления системы. Только я вот не помню где это, подскажите плиз!!
[QUOTE=shapel]Попробуйте выполнить эту инструкцию [URL]http://shkolazhizni.ru/archive/0/n-2153/[/URL][/QUOTE]
Вставьте диск для установки Виндовс, и выполните инструкцию.
не могли бы вы подсказать какие файлы были удалены с помощью HiJackthis когда его профиксил вышеупомянутые пункты? может я их через лайв СД винды залью обратно?
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
все винду в безопаскеудалось открыть, несмотря на то что я комп еще раз прогнал через Др.Веб и он нашел там два файла и уничтожил их, БАНЕР остался. Способ с изменением времени не прокатывает, все функции и прочее (автозагр.,реестр) не доступны.
[QUOTE=Мирослав;520528]не могли бы вы подсказать какие файлы были удалены с помощью HiJackthis когда его профиксил вышеупомянутые пункты? может я их через лайв СД винды залью обратно?[/QUOTE]
Пофиксили [I][B]overlapp32.dll - [/B][/I]предположительно[I][B] Trojan.Win32.Delf.rwn
[/B][/I]Попробуйте выполнить эту инструкцию [URL]http://virusinfo.info/showthread.php?t=51777[/URL]
с помощью АВЗ -> Сервис->Диспетчер процессов - выяснил что за включение банера отвечает некий System - без подписей и определения (как его найти в реестре с помощью АВЗ, его от туда вытереть тогда можно будет вручную)
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
завершение на System не действует (
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
на поиск в реестре через АВЗ конечно же вываливается тысяча ключей содержащих System как его отсеить?
Логи в обычном режиме сможете сделать?
неа копи/паст по прежнему неоступен, теперь в добавок пишет что у меня нетадминистративных прав использовать флэшку )). какой же он сука забавный вирус )
В безопасном режиме выполните полную проверку Куритом(др.Веб) и AVPTool.
все ьрабл решил. ГУГЛ форева. завтралоги на проверку кину. ок?
логи на обследование.
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(8);
Executerepair(13);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
Повторите действия, описанные в п. 2 Диагностики и новые логи прикрепите к новому сообщению
Сделайте лог MBAM
MBAM утверждает что у него отсутствует какойто файл ...372.., и не хотит запускаться. Сделал пока GMER.
В логах подозрительного не увидел, что с проблемой?
1. ну как бы повис toolbar - и почему то перешел в состояние классического вида, 2. потом почему то невозможно перетаскивать значки на рабочем столе, 3. пропали значки vpn слединения из сетевых подключений, собственно все значки вообще. 4. на подключение кабеля сети не реагирует и создавать новые соединения отказывается - т.е. выбираем vpn, а след. окно неактивно вообще.
Попробуем восстановить доступ в интернет.
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(14);
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
Отпишитесь
также досихпор копи/паст страдает. ии походу запрещена установка ПО, собственно почему не ставиться MBAB. логи
[QUOTE='Мирослав;521405']запрещена установка ПО[/QUOTE]
Уточните, все ПО не устанавливается или конкретное?
пока что конкретное типа Dr.Web home edition trial, MBAB другое не пробовал пока. После логов сеть создать всеравно нельзя. (. Hijackthis больше ничего не показал?
МБАм у Вас стоит в реестре и думается что работает. Также есть КАВ2010.
МБАм пишет ошибку 372 что при установке что при загрузке, отсутствие какогото файла. КАВ10 есть триальный, как на зло просрочился, батником поправил, а обновить не могу сети нет и недает ((. надо наверное какой то посильнее Лайв СД и еще раз прокачать. В логах отражены процессы на компе? меня очень напрягает System 204 Кб весит - в процессах ГМЕР на него многовато всего было завязано.
также не дает запускать документы офиса, и удалять процессы из диспетчера задач. скотина,залег на дно и ничего его не берет, на ночь запускал dr.web livecd скачанный с оф.сайта с последним обновление на 30.11.09, он тоже поубивал пару тройку троянов .anpl (как то так) но на общую картину это не повлияло.
[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]
пля, ну че делать то? как быть?
Делайте комплект логов(АВЗ,Гмер, Hijack), будем искать!
Если что-то не запускается, пробуйте переименовать.
MBAM пишет что не может запустить файл vbalgrid.ocx, говорит мол просроченный может быть или че то там еще... make sure you are using current version provided with your application. причем поставил его на флэшку на чистом компе даж базы обновил.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
из этих то вроде все запускаются, есть ли разница если я их запускаю с флэшки или с пк? просто логи с компа на флэш по-прежнему не перенести.
Все проги запускать с ПК, причем с проблемной учетной записи!
да но как логи то перенести? чтобы отправить.
[QUOTE='Мирослав;521982']да но как логи то перенести? чтобы отправить.[/QUOTE]Флэшка, диск Вам в помощь
+1мульен thyrex !!! Вирус или блокировка его через учетную запись администратора не дает НИ ЧЕГО копировать/перемещать Ни по рабочему столу Нигде либо еще. Сделал логи, толку от них, лежат мертвым грузом в папке на рабочем столе. Скрипты вставлять могу - текстовые файлы в блокнотах и программах типа АВЗ. Есть ли какой нибудь инструмент помимо молотка и зубила, чтобы выковырять эту учетную запись и вирус с ним заодно. У каспера есть загрузочный Лайв СД?
Попробуйте такой вариант. Загрузитесь с LiveCD и почистите файлы во временных папках (Temp, Temporary Internet Files) у всех аккаунтов.
еще логи
У каспера есть загрузочный Лайв СД? - есть.
ткните носом в лайв СД. Что по логам скажите?