Internet Security

[ArcticFlame]

Появляется баннер, требующий отправить смс, причем появляется, как в обычном режиме, так и в безопасном. Пробовал запустить CureIt, бесполезно, да и вообще ни одна программа не запускается, соответственно логи Hijackthis и AVZ сделать тоже не получается...помогите пожалуйста

[DefesT]

Здравствуйте. У Вас есть возможность скачать на другом ПК образ диска ERD Commander и записать его на болванку?

[ArcticFlame]

ERD Commander? Да без проблем, нужно только найти образ...буду искать, впрочем от ссылки не отказался бы.
p.s. грустное видео. Парня не вернуть, но хотелось бы верить, что справедливость восторжествует...

[polword]

тут попробуйте

[DefesT]

- Скачайте образ диска ERD Commander
- Запишите образ на болванку и загрузитесь с этого диска
- Далее: Пуск - Выполнить - erdregedit - enter
и смотрим в реестре ветку:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

с параметрами

Код:

shell

Код:

userinit

Содержимое этих параметров напишите в своем сообщении

[ArcticFlame]

shell

Код:

Explorer.exe rundll32.exe ovjp.fbo tklvr

userinit

Код:

C:\WINDOWS\system32\userinit.exe,

[polword]

- оставьте в параметре shell значение Explorer.exe
- загрузитесь в обычном режиме
- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)

[ArcticFlame]

Commander не хочет флэшку читать, т.е. он ее вообще не видит в "my computer"...такая проблема.

Добавлено через 2 минуты

Когда вставляю флэшку она даже не мигает. Commander не поддерживает USB?

Добавлено через 33 минуты

Получилось переписать AVZ, Hijackthis и каспера через зараженный windows, но в коммандере ни один из них не запустился. В частности инсталлятор HiJackThis.msi выдал такое сообщение

Код:

No application is associated with files of this type

Добавлено через 8 минут

Хотя может потому и не запускаются, что скопированы через WINDOWS, экзешник AVZ вообще не переписался

[thyrex]

Проверьте еще это с ERD Commander

ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

параметр

Код:

AppInit_DLLs

Содержимое этого параметра напишите в своем сообщении

[ArcticFlame]

AppInit_DLLs:

Код:

C:\DOCUME~1\User\LOCALS~1|Temp\tfjsvn.dll

[DefesT]

удалите из AppInit_DLLs:

Код:

C:\DOCUME~1\User\LOCALS~1|Temp\tfjsvn.dll

[ArcticFlame]

Удалил...ничего взамен прописать не надо?

[thyrex]

Нет, не нужно. Пробуйте загружаться в обычном режиме

[ArcticFlame]

. AVZ запустился...делаю логи.

[ArcticFlame]

Логи готовы...Жду комментов.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
 QuarantineFile('C:\Documents and Settings\User\sxs32.exe','');
 DeleteFile('C:\Documents and Settings\User\sxs32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[ArcticFlame]

Новые логи готовы...

[ArcticFlame]

Карантин прислал, вот ссылка на тему
http://virusinfo.info/showthread.php?t=83187

файл сохранен как

Код:

100718_140547_virus_4c42d1fbdf38d.zip

MD5

Код:

b30689c64eb7184e5860d2d08ae098e9

[thyrex]

Плохого не видно

Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1

[ArcticFlame]

До того как я сделал последние стандартные логи не работал диспетчер задач и отсутствовала вкладка восстановления системы, но сейчас все работает, да и вся система работает стабильно, даже антивирусник заработал. так или иначе, лог MBA прилагается.