16.02.2010, 22:11 | #1 (ссылка) |
Новичок
Регистрация: 16.02.2010
Сообщений: 14
Репутация: 0
|
После удаления баннера (SMS) на экране надпись: "Ошибка при загрузке jriw.cao."
Добрый вечер,
После удаления баннера (SMS) на экране надпись: "Ошибка при загрузке jriw.cao. Не найден указанный модуль". По рекомендации форума протестировн ПК программой AVZ (c //z-oleg.com/avz4.zip). При запуске пришлось поменять расширение на .com - напрямую не запускался. LOG - файл на www.exfile.ru/84546 Последний раз редактировалось 01pump; 16.02.2010 в 22:44. |
17.02.2010, 11:14 | #4 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
VladislavF,
Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('msupdate'); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('C:\Documents and Settings\Алексей\Local Settings\Temp\_uninst_setup_9.0.0.722_14.02.2010_21-27.exe.bat'); DeleteFile('C:\WINDOWS\system32\servises.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(16); RebootWindows(true); end. После перезагрузки выполните в avz этот скрипт Код:
var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis и пришлите hijackthis.log а так же лог из папки avz fystemRoot.log |
17.02.2010, 12:44 | #5 (ссылка) |
Новичок
Регистрация: 16.02.2010
Сообщений: 14
Репутация: 0
|
Результат
После первого кода надпись "Ошибка при загрузке jriw.cao. Не найден указанный модуль" исчезла и при последующих перезагрузках не появлялась.
Файлы на //exfile.ru : - virusinfo_syscheck.zip №84622 - hijackthis.log №84623 - fystemRoot.log №84621 |
17.02.2010, 12:52 | #6 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
VladislavF,
Вот этот http://exfile.ru/74254 файл скачайте, распакуйте и запустите. После эксперсс-сканирования уберите справа в меню птички с Devices, Section, EAT/IAT и нажмите Scan . По окончании проверки нажмите Save и сохраните лог. Затем этот лог пришлите. |
17.02.2010, 17:45 | #7 (ссылка) |
Новичок
Регистрация: 16.02.2010
Сообщений: 14
Репутация: 0
|
Тесе GMER
После тестирования ПК появилось предупреждение:
"Warning!!! GMER has found system modification caused by ROOTKIT activity". LOG - файл на //exfile.ru №84685 P.S. В таблице в период сканирования красным цветом был выделен текст: Type - Service Name - C:\\Windows\System32\svchost.exe {***hiden***} Value - [AUTO] pavnb |
17.02.2010, 17:48 | #8 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
VladislavF,
Выполните следующий скрипт Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\pavnb'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet004\Services\pavnb'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\pavnb'); RegKeyDel('HKLM','SYSTEM\ControlSet004\Services\pavnb'); DeleteService('pavnb', true); DeleteFile('C:\WINDOWS\system32\bhmivjz.dll'); ExecuteSysClean; RebootWindows(true); end. В обязательном порядке установите этот http://webfile.ru/3955291 набор заплаток. После установки перезагрузитесь. Последний раз редактировалось 01pump; 17.02.2010 в 17:58. |
Ads | |
17.02.2010, 20:52 | #9 (ссылка) |
Новичок
Регистрация: 16.02.2010
Сообщений: 14
Репутация: 0
|
Сложность после скрипта
После скрипта отключился интернет и стало невозможно копировать файлы.
Файл 84546(скопировал на флэшку на другом ПК) разархивировал. При запуске: "Ошибка установки KB957097, KB958644, KB958687". и надпись "Диспетчеру установки не удалось проверить целосность файла update.inf. Убедитесь, чтослужбы криптографии запущены на данном ПК" Переслать LOG - файл не могу т.к. не могу скопировать его на флешку. ---------- Добавлено в 19:52 ---------- Предыдущее сообщение было написано в 19:12 ---------- Стерты все принтеры |
18.02.2010, 11:39 | #11 (ссылка) |
Новичок
Регистрация: 16.02.2010
Сообщений: 14
Репутация: 0
|
Пояснение
Win обыкновенный XP (корпоративный) XP с SP2.
Возможно это связано с тем, что первый запуск GVER произошел автоматически и тестирование было со всеми "птичками". а я ее не остановил. Второе тестирование без указанных Вами разделов. Но отправит LOG не могу - не кпируется на флешку. Сию работаю с другого ПК |
18.02.2010, 11:52 | #14 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
VladislavF,
1) При входе в Безопасный режим что происходит? 2) При копировании файлов что происходит? ЗЫ Если так и будете в молчанку играть тему прикрою. Почему из вас должны вытягивать описание проблем? |
18.02.2010, 12:22 | #15 (ссылка) |
Новичок
Регистрация: 16.02.2010
Сообщений: 14
Репутация: 0
|
Ответ
При копировании не копируются файлы, т.е. нажимаешь на копирование - результат 0, нажимаешь на вставить результат 0.
При запуске F8 далее на безопасный режим и через некоторое время надпись Не может войти в БП из-за изменения параметров (более подробно саму надпись через несколько минут ---------- Добавлено в 11:19 ---------- Предыдущее сообщение было написано в 11:12 ---------- Возможно это является следствием изменения в параметрах настройки оборудования или программного обеспечения ---------- Добавлено в 11:22 ---------- Предыдущее сообщение было написано в 11:19 ---------- Пробовал LOG записать н CD не запускается Nero |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|