-
Junior Member
- Вес репутации
- 59
банер
в очередной раз призываю о помоши. Вылез банер в левом углу надпись внимание, просьба пополнить номер абонента мтс на 400 руб. Мышь и клавиатура не работают. Что делать? Как заставить клавиатуру и мышь работать? Пишу с телефона других вариантов нет ибо нахожусь в командировке в другом городе
Добавлено через 1 час 6 минут
уважаемые сапорты я не первый раз обращаюсь к вашей помощи! Помогите разлочить рабочий стол и мышь я обязательно предоставлю логи! Объясняю вам я пишу через телефон! Хелп!
Последний раз редактировалось aWho; 18.11.2010 в 01:05.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В подобных случаях действует только один метод: загружаться с LiveCD, подключать реестр зараженной системы и искать вручную. Обычно эта зараза стартует через
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Правильные значения для этих параметров:
Shell = Explorer.exe
Userinit = C:\Windows\System32\userinit.exe,
(с поправкой на букву системного раздела, символ запятая должен быть).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
liveCD нет возможности найти, но имеется загрузочный диск убунты. Из под убунты можно выгнать заразу?
Добавлено через 54 минуты
liveCD имеется, но только с убунтой. Можно ли из под убунты ручками подправить реестр виндовоза?
Последний раз редактировалось aWho; 18.11.2010 в 12:45.
Причина: Добавлено
-
Тут об этом написано, но я ответственность за всякие возможные косяки с себя снимаю.
-
-
Junior Member
- Вес репутации
- 59
все нормально! Но из под убунты я в реестре ничего страшного не увидел все параметры были прописаны нормально! Однако в Х:\Documents and Settings\****\Application Data я нашел интересную папку с названием winlog в которой находился файл тхт и ехе с таким же названием. Из под убунты данный файл я загнал на проверку в лабораторию касперского и вирустотал и там и там был ответ что это нехороший файл. после чего я его удалил и банер пропал. вот логи. файл зловредный к сожалению не могу предоставить т.к. не подумав удалил его сразу....
Последний раз редактировалось aWho; 23.11.2010 в 14:36.
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Duke\wlock\wlock.exe
O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - d:\games\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - d:\games\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\games\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\games\PartyGaming\PartyPoker\RunApp.exe (file missing)
Выполните скрипт в AVZ:
Код:
begin
BC_DeleteSvc('ADIHdAudAddService');
BC_DeleteSvc('AEAudio');
BC_DeleteSvc('cpuz132');
BC_DeleteSvc('EagleNT');
BC_DeleteSvc('GarenaPEngine');
BC_DeleteSvc('GGSAFERDriver');
BC_DeleteSvc('npkcrypt');
BC_DeleteSvc('npkcusb');
BC_DeleteSvc('npkycryp');
BC_DeleteSvc('RTLWUSB');
BC_DeleteSvc('SenFiltService');
BC_DeleteSvc('SjyPkt');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте для контроля новые логи (только п.2 и 3 раздела Диагностика).
Также, обратите внимание:
C:\Documents and Settings\Duke\Рабочий стол\Рабочий стол.rar/{RAR}/ujudyg.exe >>>>> Backdoor.Win32.Shiz.aed
C:\Documents and Settings\Duke\Рабочий стол\Рабочий стол.rar/{RAR}/nsuhpt.exe >>>>> Backdoor.Win32.Shiz.acu
Что это за архив на рабочем столе Рабочий стол.rar?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
выполнил все скрипты вот логи.
По поводу файла "рабочий стол.rar" это я делал карантин когда до этого боролся с заразой... просто забыл этот архив удалить....
Последний раз редактировалось aWho; 23.11.2010 в 14:36.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
спасибо большое! проблема решена!) лайвСД убунты оч. полезная вещь оказалась.... и ссылочку полезную подкинул light59 за, что ему отдельное спасибо.