Обычный баннер.
Запускал CureIt,пишет что ничего не нашёл.
Даже незнаю что ещё сказать.
Успел сделать только логи AVZ,HiJackThis не успел
Обычный баннер.
Запускал CureIt,пишет что ничего не нашёл.
Даже незнаю что ещё сказать.
Успел сделать только логи AVZ,HiJackThis не успел
Последний раз редактировалось ROBOTRON; 28.04.2011 в 14:42.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('D:\Users\74F0~1\AppData\Local\Temp\0.467605112886744.exe',''); QuarantineFile('D:\ProgramData\22CC6C32.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('D:\ProgramData\22CC6C32.exe'); DeleteFile('D:\Users\74F0~1\AppData\Local\Temp\0.467605112886744.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Простите,я забыл пометить то что из-под обычной учётной записи зайти нельзя.
В безопасном режиме висит баннер.Только LiveCD
Как работать с системным реестром другой системы, загрузившись с LiveCD:
http://virusinfo.info/showthread.php?t=72176
Посмотрите в реестре:
ветка
параметрКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметрКод:userinit
веткаКод:shell
параметрКод:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
Содержимое этих параметров напишите в своем сообщении.Код:AppInit_DLLs
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Userinit=D:\ProgramData\22CC6C32.exe
Shell=D:\ProgramData\22CC6C32.exe
AppInit_DLLs такого не нашёл.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи
Последний раз редактировалось ROBOTRON; 28.04.2011 в 14:42.
1.Профиксите в HijackThis
2. Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
После перезагрузки:Код:procedure WhatService(AServiceName : string); var dllname, servicekey : string; begin servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName; RegKeyResetSecurity( 'HKLM', servicekey); RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters'); AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description')); AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName')); AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath')); dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll'); AddToLog('ServiceDll: '+dllname); QuarantineFile(dllname,''); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); WhatService('hnkeymbj'); QuarantineFile('D:\system32\userinit.exe',''); QuarantineFile('D:\Windows\jusched.exe',''); QuarantineFile('D:\Users\74F0~1\AppData\Local\Temp\0.467605112886744.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); DeleteFile('D:\Users\74F0~1\AppData\Local\Temp\0.467605112886744.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system'); BC_ImportAll; ExecuteSysClean; BC_Activate; SaveLog(GetAVZDirectory+'hnkeymbj.log'); RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- файл hnkeymbjs.log прикрепите к сообщению
- Сделайте лог MBAM
Автозагрузка по прежнему не работает
Игры не работают
Последний раз редактировалось ROBOTRON; 28.04.2011 в 14:42.
Простите за назойливость,но решаете ли вы мою проблему?
И скажите,может мне лучше переустановить систему?
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\system32\userinit.exe',''); QuarantineFile('D:\Windows\jusched.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
D:\system32\userinit.exe
Может здесь надо было указать путь к файлу по другому?
D:\Windows\system32\userinit.exe?
Лог сделал неполный т.к. утром времени мало,сделаю полный ближе к вечеру,а также неполный лог не удалось прикрепить по причине "Ваш файл занимает 1.45 Мб байт, что превышает предел на форуме в 488.3 Кб для этого типа файла."
Последний раз редактировалось ROBOTRON; 28.04.2011 в 08:32. Причина: Приложил логи
Так в Ваших логах. Пока это только карантин
Почистите вложения через Мой кабинет
Пофиксите в HiJack
Сделайте лог полного сканирования МВАМКод:F2 - REG:system.ini: UserInit=D:\system32\userinit.exe
Ждем лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проблема решена,фикс помог,вирусы удалены MBAM'ом,но программа не сохранила лог.Обязательно ли делать повторный лог?
Если аномального поведения не наблюдается, то не обязательно.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Лог gmer хотелось бы увидеть
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог не могу сделать т.к. каждые 30-50 минут отключают свет на 2-3 минуты,по причине профилактики(-_- и что она им сдалась)
Это можно будет сделать через 2-3 дня
Сделаете, когда сможете.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- d:\\users\\74f0~1\\appdata\\local\\temp\\0.4676051 12886744.exe - Trojan-Ransom.Win32.PornoBlocker.zrs ( DrWEB: Trojan.Winlock.3090, BitDefender: Trojan.Generic.KDV.204079, AVAST4: Win32:Malware-gen )
Уважаемый(ая) ROBOTRON, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.