Поймал порнобанер! (дочь гдето выловила)
Полечил ДрВЕБ CUreIT (он нашел и удалил пару троянов)
Пытаюсь запустить AVZ-просто выключается комп при попытке открыть папку с AVZ
Помогите!
Printable View
Поймал порнобанер! (дочь гдето выловила)
Полечил ДрВЕБ CUreIT (он нашел и удалил пару троянов)
Пытаюсь запустить AVZ-просто выключается комп при попытке открыть папку с AVZ
Помогите!
Здравствуйте, попробуйте полимофорным авз из моей подписи.
Полимофорный запускается, работает 2-3секунды и комп вырубается. Пробовал и в обычном и в безопасном режиме/
При запуске вылезло Generic Host Process for WIN32 Services---обнаружена ошибка.Приложение будет закрыто
порнобанер на номер 3381?
[QUOTE=polword;642845]порнобанер на номер 3381?[/QUOTE]
ДА
редактор реестра запускается? если нет - скачайте LiveCD с возможностью поиска и правки исправления в реестре. Например, ERD Commander
[QUOTE=polword;642853]редактор реестра запускается? если нет - скачайте LiveCD с возможностью поиска и правки исправления в реестре. Например, ERD Commander[/QUOTE]
Откуда его скачать??? Везде просят СМСку отправить
На ru-board.ru он есть.
Запустился с загрузочного диска. Пробую лечиться. Вот логи:
Не оставьте без помощи.
В РЕгЕдите смотрю на Applnit DLLs--пусто
логи с LiveCD бесполезны
Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F3 - REG:win.ini: run=C:\WINDOWS\system32\btfvyfq.exe
[/CODE]
перезагрузитесь.
попробуйте загруиться в нормальном режиме, если получится - сделайте логи
Загрузил в обычном режиме. Один раз удалость прогнать ХайДжек и комп сразу вырубился, пофиксить не успел.
При запуске АВЗ --тоже выключается комп
Скачайте ERD Commander (где искать, Павел сказал - на форуме ru-board.[B]com[/B]), сделайте загрузочный диск и смотрите реестр с него, а не через обычный regedit
После загрузки с СД надо запустить regedit и подгрузить удаленный реестр.
Ключ, который надо исследовать: [CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs[/CODE]
Содержимое его пришлете на форум.
[QUOTE=PavelA;643729]После загрузки с СД надо запустить regedit и подгрузить удаленный реестр.
Ключ, который надо исследовать: [CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs[/CODE]
Содержимое его пришлете на форум.[/QUOTE]
Загрузился с СД. AppInit_DLLs-пусто
К сожалению, сегодня не могу ни скачать ERD, ни сделать диск с ним.
С какого Сд грузились? Доступ к удаленному реестру с него есть?
[QUOTE=PavelA;643741]С какого Сд грузились? Доступ к удаленному реестру с него есть?[/QUOTE]
диск называется Hiren"s BootCD 9.9 на нем много разных программ. Когда запуская минивиндоузХР с него, то вижу ERDcmmander2003Explrer.
Как понять, еть ли доступ к удаленному реестру? (прошу простить моё ламерство)
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
Запустил миниХР, затем ERDCommander. Черезнего вошел в РЕГЕДИТ.
AppInitDlls--пусто
по вот этой инструкции делайте:
[url]http://virusinfo.info/showthread.php?t=72176[/url]
[QUOTE=PavelA;643868]по вот этой инструкции делайте:
[url]http://virusinfo.info/showthread.php?t=72176[/url][/QUOTE]
всё проделал по инструкции, но что редактировать? Что и куда добавить(убрать)?
[QUOTE=PavelA;643729]После загрузки с СД надо запустить regedit и подгрузить удаленный реестр.
Ключ, который надо исследовать: [CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs[/CODE]Содержимое его пришлете на форум.[/QUOTE]
это сделать
Значение AppInit_DLLs - C:WINDOWS\INF\NETINEV2.INF:Q9dCL8M882P
Этот ключик надо зачистить, чтобы там было пустое значение.
После этого делать полный комплект логов по Правилам.
Вот логи:
выполнить скрипт:
[CODE]begin
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/CODE]
Пройтись "Мастером поиска и устранения проблем".
Сделать лог при помощи ComboFix для удаления хвостов.
Спасибо огромное проблема ушла вот лог
Ребята Вам скрипт напишут для удаления "хвостов" из System32
Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\windows\system32\btfvyfq.exe','');
QuarantineFile('c:\windows\system32\ji.dll','');
end. [/code]
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\hhl.dll
c:\windows\system32\tbdj.dll
c:\windows\system32\cwuhel.dll
c:\windows\system32\vygvnql.dll
c:\windows\system32\sbwoi.dll
c:\windows\system32\icltwlj.dll
c:\windows\system32\dbvm.dll
c:\windows\system32\htay.dll
c:\windows\system32\awdhdd.dll
c:\windows\system32\ji.dll
c:\windows\system32\btfvyfq.exe
Driver::
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Сделал как указано.
Почему то не могу установить антивирус
У Вас есть следы Нод32 + Симантека. Надо с этим разобраться, оставить одного, которым будете пользоваться.
[QUOTE=PavelA;644521]У Вас есть следы Нод32 + Симантека. Надо с этим разобраться, оставить одного, которым будете пользоваться.[/QUOTE]
Пытаюсь установить Симонтек. До этого стоял НОД. Видать НОД коряво убрался.... Как полностью избавиться от НОДа?
Поискать утилиту у них на сайте по зачистке следов.
[URL="http://virusinfo.info/showthread.php?t=16646"]тут[/URL] посмотрите
Спасибо за помощь.
Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Еще и мусор необходимо [URL="http://virusinfo.info/showthread.php?t=10025"]убрать[/URL]
Все почистил, но почему то не хочет устанвливаться антивирус Симонтек
Выполните скрипт в AVZ
[code]begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Что теперь с установкой антивируса?
Антивирус установился и запустился!!!
Благо Дарю!!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]52[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\btfvyfq.exe - [B]Packed.Win32.Krap.gx[/B] ( DrWEB: Trojan.Packed.20343, BitDefender: Trojan.Generic.4126207, NOD32: Win32/Delf.PJG trojan )[*] c:\windows\system32\ji.dll - [B]Packed.Win32.Krap.gx[/B] ( DrWEB: Trojan.Winlock.1678, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \qoobox\quarantine\c\windows\system32\admdll.dll.vir - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.20[/B] ( DrWEB: Program.RemoteAdmin.21 )[*] \qoobox\quarantine\c\windows\system32\raddrv.dll.vir - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.20[/B] ( DrWEB: Program.RemoteAdmin )[*] \qoobox\quarantine\[4]-submit_2010-05-27_08.39.01.zip - [B]Packed.Win32.Krap.gx[/B] ( DrWEB: archive: Trojan.Winlock.1678 )[/LIST][/LIST]