Чертов вирус баннер

[Melaver]

Лог AVZ

и второй http://www.fayloobmennik.net/2064293
Спасибо

[Info_bot]

Уважаемый(ая) Melaver, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Перечитайте правила и пришлите нужные логи AVZ

Прикрепите логи на форуме, используя инструкцию http://virusinfo.info/showthread.php?t=121951

[Melaver]

Добавили, это модераторы удалили почему то, видимо читалась неправильно

[thyrex]

Еще раз советую внимательно перечитать правила и прислать логи AVZ, а не автокарантин

[Melaver]

Вот так

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\system32\myclient.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

[Melaver]

Карантин пуст. Это может быть из-за того, что я захожу с другой (не заблокированной) учетной записи?

[thyrex]

Т.е логи сделаны не в проблемной учетке? Тогда они бесполезны

У Вас на экране окно блокировки?

[Melaver]

А там ничего сделать невозможно. Баннер блокирует все совсем. Ни рабочего стола, ни диспетчера ничего ........

[thyrex]

В каком-либо из безопасных режимов в проблемной учетке загружается без блокировки?

[Melaver]

Нет, не получилось

- - - Добавлено - - -

Можно будет сделать что-то через учетку главного админа? вирус то жив, боюсь все перезаражает

[thyrex]

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run в отдельные файлы, заархивируйте и прикрепите к сообщению

[Melaver]

Не пойму в чем проблема, но: Я сделала образ и на диске и на флешке, однако при загрузке все равно грузиться винда. Такое впечатление, что он игнорирует приоритет. Может быть я что-то не то делаю? Почитала по шагово инструкции - все так, а загрузка не происходит

[thyrex]

На другом компьютере пробовали загружаться с созданного диска?

Давайте попробуем в нормально работающей учетной записи сделать логи RSIT
Вдруг что-то покажет

[Melaver]

Параметры: C:\\windows\system32\uzerinit.exe и explorer.exe.

[Дeнис]

Melaver,
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"S16114752"="C:\\Users\\Яныч\\0.22338308206904944.exe"

1. Переименуйте C:\\Users\\Яныч\\0.22338308206904944.exe в C:\\Users\\Яныч\\0.22338308206904944.bak

2. Перезагрузитесь и Сделайте логи по правилам!

[Melaver]

Учетка по прежнему заблокирована, соответственно не могу и логи сделать

[Никита Соловьев]

Удалите при помощи редактора реестра на Kaspersky Live CD следующие параметры:

Код:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"S16114752"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S1921583"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S2772136"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S12540140"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S77105126"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S1844186"="C:\\Users\\Яныч\\0.22338308206904944.exe"
"S18516911"="C:\\Users\\Яныч\\0.22338308206904944.exe"

Попробуйте войти в учётную запись.

[Melaver]

Сыграли в игру "Добро пожаловать или посторонним вход воспрещен" баннер наместе. Все заблокировано