При выключение компа-синий экран и перезгруз,сообщен об измен ключей рееста, браузеры не работают.

**temnay-inay** · 09.10.2010, 04:15

1. При выключении компьютера (после надписей : сохранение данных, выключение компьютера) появляется синие окно и комп перезагружается, выключается только аварийным выключением.
2. после запуска винды: выскакивает окно ключи в реестре (извените не помню какого файла) изменены.
3. Браузеры блокируются при запуске. Google Chrome - открывает страницу и секунд через 30 выдает ( опаньки.. возникли не поладки) Мазила - не открывается вообще. Установила оперу работает, но после создания первого лога, система выдала ошибку " файл поврежден".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Никита Соловьев** · 09.10.2010, 04:25

Пофиксите в hijackthis:

Код:

F2 - REG:system.ini: Shell=explorer.exe,
F3 - REG:win.ini: run=C:\WINDOWS\system32\zsudqjq.exe

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\e97ced08.exe','');
 QuarantineFile('C:\WINDOWS\system32\hphmon05.exe','');
 QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
 QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\WINDOWS\system32\zsudqjq.exe','');
 QuarantineFile('C:\WINDOWS\sm56hlpr.exe','');
 QuarantineFile('C:\WINDOWS\system32\23361d6e.exe','');
 QuarantineFile('C:\WINDOWS\system32\71580c1c.exe','');
 QuarantineFile('C:\WINDOWS\system32\96e0444.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\vfvnrab.sys','');
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
 DeleteService('lgjlh');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smserial.sys','');
 DeleteService('smserial');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smserial.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\vfvnrab.sys');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteFile('C:\WINDOWS\system32\96e0444.exe');
 DeleteFile('C:\WINDOWS\system32\71580c1c.exe');
 DeleteFile('C:\WINDOWS\system32\23361d6e.exe');
 DeleteFile('C:\WINDOWS\sm56hlpr.exe');
 DeleteFile('C:\WINDOWS\system32\zsudqjq.exe');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 DeleteFile('C:\WINDOWS\system32\stisvc.exe');
 DeleteFile('C:\WINDOWS\system32\psxss.exe');
 DeleteFile('C:\WINDOWS\system32\hphmon05.exe');
 DeleteFile('C:\WINDOWS\system32\e97ced08.exe');
 DeleteFile('%PF%\Opera\setupapi.dll');
 DeleteFile('%PF%\Mozilla Firefox\setupapi.dll');
 RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll');
 DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SMSERIAL');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HPHmon05');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteRepair(16);
 ExecuteWizard('TSW',2,2,true);
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новые логи

**temnay-inay** · 09.10.2010, 06:34

новые логи. )

**Никита Соловьев** · 09.10.2010, 14:08

Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новый virusinfo_syscheck.zip и лог MBAM

**temnay-inay** · 09.10.2010, 15:47

лог

**Никита Соловьев** · 09.10.2010, 15:50

Удалите с помощью МВАМ всё, кроме:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

C:\Documents and Settings\катрин\Рабочий стол\нужное\игры\Buku_Domino_r_setup.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\катрин\Рабочий стол\нужное\игры\Romopolis_r_setup.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Photoshop CS3\Msvcrt.dll (Malware.Packer.Gen) -> No action taken.
C:\Program Files\Photoshop CS3\Shfolder.dll (Malware.Packer.Gen) -> No action taken.
C:\Program Files\Total Video Converter 3.02\!RUS\Rusificator_TVC_v_3.02.exe (Trojan.Downloader) -> No action taken.
C:\Игры от NevoSoft\Peacecraft\WrapperInstall.exe (Spyware.Banker) -> No action taken.
C:\Игры от NevoSoft\Shopping Blocks\WrapperInstall.exe (Spyware.Banker) -> No action taken.
C:\Игры от NevoSoft\Paradise Beach\WrapperInstall.exe (Spyware.Banker) -> No action taken.
C:\Игры от NevoSoft\Treasure Seekers 2\WrapperInstall.exe (Spyware.Banker) -> No action taken.
D:\программы и кряки\winrar.3.xx.generic.patch.exe (Trojan.Agent.CK) -> No action taken.
D:\нужное\игры\Buku_Domino_r_setup.exe (Trojan.Agent) -> No action taken.
D:\нужное\игры\Romopolis_r_setup.exe (Trojan.Agent) -> No action taken.
D:\Alcohol_120_v1.9.6.5429\crack\loader for all lang\Alcohol.exe (Trojan.Agent) -> No action taken.

Сделайте эти два лога заново

**temnay-inay** · 09.10.2010, 18:43

новые логи

**Никита Соловьев** · 09.10.2010, 18:55

C:\WINDOWS\system32\sfcfiles.dll - восстановите этот файл из дистрибутива или скопируйте с другого ПК.

Что с проблемой?

**temnay-inay** · 09.10.2010, 19:00

доктор, операция прошла успешно, симптомы прошли )) )))))))) пациент, здоров )) а я в свою очередь благадарю вас, за помощь, решение и терпение))

**Никита Соловьев** · 09.10.2010, 19:07

ОК

**CyberHelper** · 10.10.2010, 19:07

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

При выключение компа-синий экран и перезгруз,сообщен об измен ключей рееста, браузеры не работают. (заявка № 89563)

Опции темы

При выключение компа-синий экран и перезгруз,сообщен об измен ключей рееста, браузеры не работают.

Итог лечения

Похожие темы

самопроизвольное выключение компа

Синий экран при выключение или при перезагрузки

При выключении компа-синий экран с ошибками

Долгое выключение компа

самопроизвольное выключение компа

Ваши права в разделе