-
Junior Member
- Вес репутации
- 51
Выручайте!!! Рекламный модуль 3381
Ребят, выручайте...
пробовал разные коды с сервисов др веба и касперского - нникакой из них не подходит.
Заблокировано почти все .
AVPTool, CureIt, AVZ - не работают, при попытки их запуска сразу перезагружается компьютер.
Hijack запустился, но во время сканирования компьютер выключился, лог никакой не сохранился.
Пробовал советы из соседней темы http://virusinfo.info/showthread.php?t=79005 , а конкретно скачал Live CD ERD Commander, записал на диск, запустил с него... Однако при попытке выполнить Пуск - Выполнить - erdregedit выскакивает вот такое сообщение "Windows не удалось найти 'erdregedit'. проверьте, что имя было введено правильно, и повторите попытку. Бла, бла, бла".... поэтому содержимое параметра которое нужно предоставить не могу.... Что делать? выручайте
Вот значение параметра AppInit_DLLs - D:\WIN\system32\refbdt.dll
Последний раз редактировалось Saint1986; 26.05.2010 в 23:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполняйте с LiveCD
1. Файл D:\WIN\system32\refbdt.dll переименуйте
2. Очистите значение параметра AppInit_DLLs
3. Перезагрузитесь, загрузитесь в нормальном режиме и пробуйте выполнить правила
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Всё сделал, выкладываю логи... Еще такая проблема, что все сайты работают в нормальном режиме, а вот virusinfo не грузится, проблемы с загрузкой, поэтому приходится писать с другого компьютера
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F3 - REG:win.ini: run=D:\WIN\system32\wdplewy.exe
F2 - REG:system.ini: UserInit=D:\WIN\system32\userinit.exe,D:\WIN\system32\52dfc29a.exe,\\?\globalroot\systemroot\system32\1GRMXBe.exe,
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WIN\Temp\esp61AA.tmp','');
QuarantineFile('D:\WIN\system32\ieudinit.exe','');
QuarantineFile('D:\Program Files\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL','');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('D:\Documents and Settings\Александр\Application Data\bpdata.dll','');
QuarantineFile('D:\WIN\system32\wdplewy.exe','');
QuarantineFile('D:\WIN\system32\52dfc29a.exe','');
QuarantineFile('D:\Documents and Settings\Александр\ctfmon.exe','');
DeleteFile('D:\Documents and Settings\Александр\ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
DeleteFile('D:\WIN\system32\52dfc29a.exe');
DeleteFile('D:\WIN\system32\wdplewy.exe');
DeleteFile('D:\Documents and Settings\Александр\Application Data\bpdata.dll');
DeleteFile('D:\WIN\Temp\esp61AA.tmp');
RegSearch('HKLM', '', 'esp61AA.tmp');
SaveLog(GetAVZDirectory + 'search.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(20);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 51
Всё сделал, карантин отправил, выкладываю логи
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('E:\autorun.inf','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{FE063DB1-4EC0-403e-8DD8-394C54984B2C}');
DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
DelBHO('{9CB65206-89C4-402c-BA80-02D8C59F9B1D}');
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
QuarantineFile('D:\Program Files\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL','');
DeleteFile('D:\Program Files\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL');
DeleteFile('E:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Выполнил, выкладываю логи
-
Плохого не видно
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
-