-
Junior Member
- Вес репутации
- 53
iLite Net Accelerator подхватил на ноут. Никак не могу излечить:(
Принесли ноут на котором подхвачена эта гадость.
В безопасном режиме при запуске CureIt сразуже выскакивает окно с просьбой отправить смс для разблокировки на номер 8353. Просят отправить код K704113200
После загрузки винды начинают выскакивать сообщения об ошибке userinit, rundll32 и так далее...
Подскажите как быть.
С чего начать лечение.
Система Win XP Home
Добавлено через 56 минут
Даже логи собрать неполучается.
В безопасном режиме при запуске любого экзешника сразу вылетает это окно(((
Ни AVPTool ни CureIT не запускаются(
Последний раз редактировалось KPD; 23.12.2009 в 21:27.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Удалось таки запустить HijackThis
Лог приложил
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\zujsqe.dll
Перезагрузите компьютер.
Попробуйте сделать все логи по правилам.
Если не получится сделать логи AVZ - сделайте такой лог:
- Скачайте эту программу: http://www2.online-solutions.ru/ru/d...le.php?p=65579
- Переименуйте папку c программой, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
- Переименуйте исполняемый файл программы в что-то типа test.exe, game.pif, program.com
- Перезагрузите компьютер.
Попробуйте сделать лог:
1) Запустите OSAM и дождитесь окончания сканирования.
2) Нажмите на кнопку "Save Log"
3) Запакуйте лог в архив и прикрепите к своему следующему сообщению.
Последний раз редактировалось Ingener; 23.12.2009 в 21:35.
GHETTO/STREET WORKOUT
-
-
Junior Member
- Вес репутации
- 53
Никак не получается.
AVZ и OSAM не запускаются (файлы и папки переименовывал), сразу после запуска вылезает окно что произошла ошибка
Нажимаешь Отмену - грит что программа уничтожена и всё.
Нажимаешь ОК - вылазит окно с просьбой ввести СМС.
Что интересно после опять запустил HijackThis там снова появились все 3 строчки.
Что ещё интересно если посте фикса сразу опять запустить скан то эти 2 строчки снова вылазят
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\zujsqe.dll
ну там только меняются названия ДЛЛек...
-
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Информацию собрал.
Вот нужные логи
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Bjq41.sys','');
DeleteService('Bjq41');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dkr64.sys','');
DeleteService('Dkr64');
QuarantineFile('C:\WINDOWS\System32\Drivers\Emt28.sys','');
DeleteService('Emt28');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gnu18.sys','');
DeleteService('Gnu18');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hou85.sys','');
DeleteService('Hou85');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hov74.sys','');
DeleteService('Hov74');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ipv73.sys','');
DeleteService('Ipv73');
QuarantineFile('C:\WINDOWS\System32\Drivers\Irb00.sys','');
DeleteService('Irb00');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lta86.sys','');
DeleteService('Lta86');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mtb75.sys','');
DeleteService('Mtb75');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nuc17.sys','');
DeleteService('Nuc17');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qxf53.sys','');
DeleteService('Qxf53');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf54.sys','');
DeleteService('Ryf54');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vel42.sys','');
DeleteService('Vel42');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wfm75.sys','');
DeleteService('Wfm75');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\psfk.exe','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\psfk.exe');
DeleteFile('C:\WINDOWS\Tasks\SysteCheck.job');
DeleteFile('C:\WINDOWS\System32\Drivers\Wfm75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vel42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryf54.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qxf53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nuc17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mtb75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lta86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Irb00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ipv73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hov74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hou85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gnu18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Emt28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dkr64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bjq41.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
А это нормально что quarantine.zip получился пустой???
-
Сообщение от
KPD
А это нормально что quarantine.zip получился пустой???
Такое бывает. Новые логи сделайте.
-
-
Junior Member
- Вес репутации
- 53
Сделал диагностику.
Вот логи:
-
Обновите базы avz,
Сделайте логи avz.
-
-
Junior Member
- Вес репутации
- 53
Обновление выполнил.
Логи:
-
-
-
Junior Member
- Вес репутации
- 53
Да вроде бы проблемы больше нет))
Большое спасибо за помощь