-
Junior Member
- Вес репутации
- 52
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте. У Вас есть возможность скачать на другом ПК образ диска ERD Commander и записать его на болванку?
-
-
Junior Member
- Вес репутации
- 52
ERD Commander? Да без проблем, нужно только найти образ...буду искать, впрочем от ссылки не отказался бы.
p.s. грустное видео. Парня не вернуть, но хотелось бы верить, что справедливость восторжествует...
Последний раз редактировалось ArcticFlame; 16.07.2010 в 12:15.
-
-
-
- Скачайте образ диска ERD Commander
- Запишите образ на болванку и загрузитесь с этого диска
- Далее: Пуск - Выполнить - erdregedit - enter
и смотрим в реестре ветку:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
с параметрами
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 52
shell
Код:
Explorer.exe rundll32.exe ovjp.fbo tklvr
userinit
Код:
C:\WINDOWS\system32\userinit.exe,
-
- оставьте в параметре shell значение Explorer.exe
- загрузитесь в обычном режиме
- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Commander не хочет флэшку читать, т.е. он ее вообще не видит в "my computer"...такая проблема.
Добавлено через 2 минуты
Когда вставляю флэшку она даже не мигает. Commander не поддерживает USB?
Добавлено через 33 минуты
Получилось переписать AVZ, Hijackthis и каспера через зараженный windows, но в коммандере ни один из них не запустился. В частности инсталлятор HiJackThis.msi выдал такое сообщение
Код:
No application is associated with files of this type
Добавлено через 8 минут
Хотя может потому и не запускаются, что скопированы через WINDOWS, экзешник AVZ вообще не переписался
Последний раз редактировалось ArcticFlame; 16.07.2010 в 14:57.
Причина: Добавлено
-
Проверьте еще это с ERD Commander
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этого параметра напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
AppInit_DLLs:
Код:
C:\DOCUME~1\User\LOCALS~1|Temp\tfjsvn.dll
-
удалите из AppInit_DLLs:
Код:
C:\DOCUME~1\User\LOCALS~1|Temp\tfjsvn.dll
-
-
Junior Member
- Вес репутации
- 52
Удалил...ничего взамен прописать не надо?
-
Нет, не нужно. Пробуйте загружаться в обычном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
. AVZ запустился...делаю логи.
-
Junior Member
- Вес репутации
- 52
Логи готовы...Жду комментов.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
QuarantineFile('C:\Documents and Settings\User\sxs32.exe','');
DeleteFile('C:\Documents and Settings\User\sxs32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Карантин прислал, вот ссылка на тему
http://virusinfo.info/showthread.php?t=83187
файл сохранен как
Код:
100718_140547_virus_4c42d1fbdf38d.zip
MD5
Код:
b30689c64eb7184e5860d2d08ae098e9
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
До того как я сделал последние стандартные логи не работал диспетчер задач и отсутствовала вкладка восстановления системы, но сейчас все работает, да и вся система работает стабильно, даже антивирусник заработал. так или иначе, лог MBA прилагается.