09.06.2010, 10:06 | #1 (ссылка) |
Новичок
Регистрация: 09.06.2010
Сообщений: 10
Репутация: 0
|
Проблема с банером. Логи
На раб столе появился банер. Убрать его удалось, сделал логи
Скачать virusinfo_syscure.zip с exfile.ru Посмотрите, пожалуйста |
09.06.2010, 10:26 | #2 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Dezmond, Запустите AVZ В меню Файл--Выполнить скрипт В окошко вставьте текст:
Код:
begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteService('dhzae4ahng47'); DeleteFile('C:\WINDOWS\system32\kussynoozoos.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\bettit.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','mojoulab'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mojoulab'); DeleteFile('C:\Documents and Settings\M_DB\Application Data\cift.exe'); DeleteFile('C:\Documents and Settings\M_DB\Application Data\cift.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\cift.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\cift.exe,C:\Documents and Settings\administrator\Application Data\cift.exe,C:\Documents and Settings\M_DB\ctfmon.exe,C:\DOCUME~1\M_DB\LOCALS~1\Temp\576.exe,explorer.exe,C:\Documents and Settings\M_DB\Application Data\cift.exe'); DeleteFile('c:\windows\system32\userini.exe'); DeleteFile('C:\WINDOWS\system32\sysguard.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3768267562-3218047720-2088387314-1009\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Profiling'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Profiling'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3768267562-3218047720-2088387314-1009\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); DeleteFile('\\?\globalroot\systemroot\system32\fSAtxpN.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
09.06.2010, 11:05 | #3 (ссылка) | |
Новичок
Регистрация: 09.06.2010
Сообщений: 10
Репутация: 0
|
Цитата:
Скачать LOG.rar с exfile.ru |
|
09.06.2010, 11:10 | #4 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Dezmond,
Пофиксить (вот так http://pchelpforum.ru/showpost.php?p=195075&postcount=1 ) в Hijackthis строку: Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\fSAtxpN.exe, Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\temp\wpv351275553768.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); ExecuteSysClean; RebootWindows(true); end. |
09.06.2010, 11:31 | #6 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Dezmond,
Теперь такой скрипт выполните : Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\temp\wpv601275553103.exe'); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe'); DeleteFileMask('c:\windows\temp ','*.* ',true); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3768267562-3218047720-2088387314-1009\Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3768267562-3218047720-2088387314-1009\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); BC_DeleteFile('c:\windows\temp\wpv601275553103.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
09.06.2010, 11:47 | #7 (ссылка) | |
Новичок
Регистрация: 09.06.2010
Сообщений: 10
Репутация: 0
|
Цитата:
|
|
09.06.2010, 11:54 | #8 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
пофиксить это
Код:
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите лог (файл virusinfo_syschek.zip) + лог программы HijackThis |
Ads | |
09.06.2010, 12:14 | #10 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Dezmond,
5 сек выложу. http://exfile.ru/106684 Только через него удаляйте не конкретно :\windows\temp\wpv471275553585.exe а любой похожий файл в данной папке (даже если их там будет два) |
09.06.2010, 13:01 | #11 (ссылка) | |
Новичок
Регистрация: 09.06.2010
Сообщений: 10
Репутация: 0
|
Цитата:
Опять 4 explorer'a и wpv*... Темп полностью почистил, после ребута вновь появляется... |
|
09.06.2010, 13:03 | #12 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Dezmond,
Сообщите есть ли у вас возможность скачать и записать образ LiveCD размером 170 МБ ? Если есть то это http://pchelpforum.ru/showpost.php?p=69244&postcount=2 попробуйте скачать (170МБ) и пролечиться с него. |
09.06.2010, 13:04 | #13 (ссылка) | |
Новичок
Регистрация: 09.06.2010
Сообщений: 10
Репутация: 0
|
Цитата:
|
|
09.06.2010, 13:10 | #14 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Dezmond,
После лечения сохраните лог проверки Drweb и пришлите его. Затем выполните логи из под удаленного реестра (как по ссылке написано) И затем в обычной винде сделайте комплект логов AVZ и Hijackthis |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
проблема с интернетом и запуском программ (логи) | Densid | Безопасность | 6 | 07.11.2010 07:49 |
Гляньте Логи,проблема с клавиатурой. | geniusE30 | Безопасность | 4 | 31.10.2010 11:45 |
проблема с инэтом (логи) | Densid | Безопасность | 15 | 26.10.2010 22:29 |
Логи | Pendoza | Безопасность | 2 | 23.09.2010 23:57 |
Помогите с банером! | Max22 | Безопасность | 5 | 06.07.2010 11:47 |
Не могу справиться с банером | poli.2011 | Безопасность | 46 | 04.07.2010 18:15 |
Проблема с svchost.exe и со звуком (наверное). Логи | Rabi | Безопасность | 33 | 03.07.2010 18:51 |
Посмотрите пожалуйста логи. В вирусе проблема или нет? | Takeda | Безопасность | 3 | 05.03.2010 20:40 |
Помогите решить проблему с банером | chukles | Безопасность | 8 | 24.01.2010 19:34 |
Полный пердюмонокль с розовым банером | sidorov80 | Безопасность | 15 | 07.01.2010 20:49 |