Спасибо
Спасибо
Уважаемый(ая) alex7777, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Профиксите:
Выполнить скрипт:Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\B68E~1\AppData\Local\Temp\svchost.exe',''); QuarantineFile('C:\Users\Борис\appdata\local\temp\svchost.exe',''); QuarantineFile('C:\Windows\system32\MRT.exe',''); QuarantineFile('C:\Users\Борис\wto.exe',''); QuarantineFile('C:\Users\Борис\AppData\Roaming\Xyuyuv.exe',''); QuarantineFile('C:\Users\Борис\AppData\Roaming\Ozuyum.exe',''); DeleteFile('C:\Users\Борис\AppData\Roaming\Ozuyum.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ozuyum'); DeleteFile('C:\Users\Борис\AppData\Roaming\Xyuyuv.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xyuyuv'); DeleteFile('C:\Users\Борис\appdata\local\temp\svchost.exe'); DeleteFile('C:\Users\B68E~1\AppData\Local\Temp\svchost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин и новые логи готовы
Как там логи?
так себе
В AVZ выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('F:\wzshlstb.dll',''); QuarantineFile('C:\Windows\system32\MRT.exe',''); QuarantineFile('C:\Program Files\VPets\VPets.exe',''); QuarantineFile('C:\Users\Борис\wto.exe',''); DeleteFile('C:\Users\Борис\wto.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); DeleteFile('C:\Program Files\VPets\VPets.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer'); DeleteFileMask('C:\Program Files\VPets', '*.*', true); DeleteDirectory('C:\Program Files\VPets'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки
Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
Карантин выложил, а логи не могу - закончилось свободное место. ( Что делать?
Убрал несколько ваших старых вложений, теперь есть место.
I am not young enough to know everything...
Спасибо,вот новые логи...
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:\\www.samsungcomputer.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
В остальном все нормально.Код:begin DelCLSID('{E0D79307-84BE-11CE-9641-444553540000}'); DelCLSID('{E0D79306-84BE-11CE-9641-444553540000}'); DelCLSID('{E0D79305-84BE-11CE-9641-444553540000}'); DelCLSID('{E0D79304-84BE-11CE-9641-444553540000}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{E0D79304-84BE-11CE-9641-444553540000}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{E0D79305-84BE-11CE-9641-444553540000}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{E0D79306-84BE-11CE-9641-444553540000}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{E0D79307-84BE-11CE-9641-444553540000}'); end.
Какие-то проблемы остались?
I am not young enough to know everything...
В экране приветствия три пользователя
1. Встроенный "Администратор"
2. Просто администратор "admin"
3. Обычный пользователь.
При входе "Администратор" сообщение -
Профиль пользователя загружен неправильно. Вход в систему выполнен с профилем, загруженным по умолчанию.
Далее работает.
При входе "admin" -
Служба пользователей препятствует входу в систему. Невозможно загрузить профиль пользователя.
Не пускает.
При входе обычного пользователя все нормально
В разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\ из этих трех только обычный пользователь.
Так же и в папке "Пользователи". В управлении учетными записями "Управление другой учетной записью" не работает.
Так же и в управлении компьютером, поскольку Vista Home Premium.
Не понятно как нормализовать учетные записи.
Ну и еще не работает touchpad.
Последний раз редактировалось alex7777; 14.01.2012 в 13:40.
Одно могу сказать - к вирусам все это отношения не имеет...
I am not young enough to know everything...
Спасибо, тачпад уже починил
А с учетными записями - ничего не понимаю, может посоветуете что-нибудь?
Еще раз всем огромное спасибо.
Продолжение с тем же, вроде бы вылеченным компьютером.
Установленная Авира продолжает время от времени чего-то отлавливать.
Посмотрите, пожалуйста.
Где вы это цепляете? Опять.
В AVZ выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Борис\wto.exe',''); DeleteFile('C:\Program Files\VPets\VPets.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer'); DeleteFile('C:\Users\Борис\wto.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); DeleteFileMask('C:\Program Files\VPets', '*.*', true); DeleteDirectory('C:\Program Files\VPets'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки логи повторите.
Paula rhei.
Поддержать проект можно тут
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\b68e~1\\appdata\\local\\temp\\svchost.e xe - not-a-virus:RiskTool.Win32.BitCoinMiner.a ( DrWEB: Tool.BtcMine.1 )
- c:\\users\\борис\\appdata\\local\\temp\\svchost.ex e - not-a-virus:RiskTool.Win32.BitCoinMiner.a ( DrWEB: Tool.BtcMine.1 )
Уважаемый(ая) alex7777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.