 |
|
|
09.06.2010, 10:06
|
#1 (ссылка) |
|
Новичок
Регистрация: 09.06.2010
Сообщений: 10
Репутация: 0
|
Проблема с банером. Логи
На раб столе появился банер. Убрать его удалось, сделал логи
Скачать virusinfo_syscure.zip с exfile.ru Посмотрите, пожалуйста |
|
|
09.06.2010, 10:26
|
#2 (ссылка) |
|
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Dezmond, Запустите AVZ В меню Файл--Выполнить скрипт В окошко вставьте текст:
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteService('dhzae4ahng47');
DeleteFile('C:\WINDOWS\system32\kussynoozoos.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\bettit.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','mojoulab');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mojoulab');
DeleteFile('C:\Documents and Settings\M_DB\Application Data\cift.exe');
DeleteFile('C:\Documents and Settings\M_DB\Application Data\cift.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\cift.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\cift.exe,C:\Documents and Settings\administrator\Application Data\cift.exe,C:\Documents and Settings\M_DB\ctfmon.exe,C:\DOCUME~1\M_DB\LOCALS~1\Temp\576.exe,explorer.exe,C:\Documents and Settings\M_DB\Application Data\cift.exe');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\WINDOWS\system32\sysguard.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3768267562-3218047720-2088387314-1009\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Profiling');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Profiling');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3768267562-3218047720-2088387314-1009\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('\\?\globalroot\systemroot\system32\fSAtxpN.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
09.06.2010, 11:05
|
#3 (ссылка) | |
|
Новичок
Регистрация: 09.06.2010
Сообщений: 10
Репутация: 0
|
Цитата:
Скачать LOG.rar с exfile.ru |
|
|
|
|
09.06.2010, 11:10
|
#4 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Dezmond,
Пофиксить (вот так http://pchelpforum.ru/showpost.php?p=195075&postcount=1 ) в Hijackthis строку: Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\fSAtxpN.exe, Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\temp\wpv351275553768.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
ExecuteSysClean;
RebootWindows(true);
end.
|
|
|
|
09.06.2010, 11:31
|
#6 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Dezmond,
Теперь такой скрипт выполните : Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\temp\wpv601275553103.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
DeleteFileMask('c:\windows\temp ','*.* ',true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3768267562-3218047720-2088387314-1009\Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3768267562-3218047720-2088387314-1009\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_DeleteFile('c:\windows\temp\wpv601275553103.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
09.06.2010, 11:47
|
#7 (ссылка) | |
|
Новичок
Регистрация: 09.06.2010
Сообщений: 10
Репутация: 0
|
Цитата:
|
|
|
|
|
09.06.2010, 11:54
|
#8 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
пофиксить это
Код:
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите лог (файл virusinfo_syschek.zip) + лог программы HijackThis |
|
|
| Ads | |
|
09.06.2010, 12:14
|
#10 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Dezmond,
5 сек выложу. http://exfile.ru/106684 Только через него удаляйте не конкретно :\windows\temp\wpv471275553585.exe а любой похожий файл в данной папке (даже если их там будет два) |
|
|
|
09.06.2010, 13:01
|
#11 (ссылка) | |
|
Новичок
Регистрация: 09.06.2010
Сообщений: 10
Репутация: 0
|
Цитата:
Опять 4 explorer'a и wpv*... Темп полностью почистил, после ребута вновь появляется... |
|
|
|
|
09.06.2010, 13:03
|
#12 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Dezmond,
Сообщите есть ли у вас возможность скачать и записать образ LiveCD размером 170 МБ ? Если есть то это http://pchelpforum.ru/showpost.php?p=69244&postcount=2 попробуйте скачать (170МБ) и пролечиться с него. |
|
|
|
09.06.2010, 13:04
|
#13 (ссылка) | |
|
Новичок
Регистрация: 09.06.2010
Сообщений: 10
Репутация: 0
|
Цитата:
|
|
|
|
|
09.06.2010, 13:10
|
#14 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Dezmond,
После лечения сохраните лог проверки Drweb и пришлите его. Затем выполните логи из под удаленного реестра (как по ссылке написано) И затем в обычной винде сделайте комплект логов AVZ и Hijackthis |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| проблема с интернетом и запуском программ (логи) | Densid | Безопасность | 6 | 07.11.2010 07:49 |
| Гляньте Логи,проблема с клавиатурой. | geniusE30 | Безопасность | 4 | 31.10.2010 11:45 |
| проблема с инэтом (логи) | Densid | Безопасность | 15 | 26.10.2010 22:29 |
| Логи | Pendoza | Безопасность | 2 | 23.09.2010 23:57 |
| Помогите с банером! | Max22 | Безопасность | 5 | 06.07.2010 11:47 |
| Не могу справиться с банером | poli.2011 | Безопасность | 46 | 04.07.2010 18:15 |
| Проблема с svchost.exe и со звуком (наверное). Логи | Rabi | Безопасность | 33 | 03.07.2010 18:51 |
| Посмотрите пожалуйста логи. В вирусе проблема или нет? | Takeda | Безопасность | 3 | 05.03.2010 20:40 |
| Помогите решить проблему с банером | chukles | Безопасность | 8 | 24.01.2010 19:34 |
| Полный пердюмонокль с розовым банером | sidorov80 | Безопасность | 15 | 07.01.2010 20:49 |
