Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 25.06.2010, 12:32   #1 (ссылка)
Новичок
 
Регистрация: 25.06.2010
Сообщений: 17
Репутация: 0
По умолчанию Неудачно удалил порнобаннер

Компьютер подхватил порнобаннер, данный рекламный модуль блокировал всё, загрузился erd-commander и почистил папку C:\Documents and Settings\User\Local Settings\Temp, в результате операционка грузится только до станицы приветствия и встаёт, при нажатии ctrl+alt+del запускается диспетчер задач и появляется пустой рабочий стол. Загружаюсь под LiveCD, вот логи:
http://exfile.ru/110679
http://exfile.ru/110680
Дройд вне форума  
Старый 25.06.2010, 12:37   #2 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Дройд,

Загрузившись с LiveCD и запустив Hijackthis с удаленным реестром пофиксите (вот так http://pchelpforum.ru/showpost.php?p=195075&postcount=1) в нем строки
Код:
 
O4 - HKCU\..\Run: [autoexec] C:\Program Files\Common Files\EyeLogon\WinSecurity.exe
O4 - HKUS\.DEFAULT\..\Run: [userinit] C:\WINDOWS\system32\twex.exe (User 'Default user')
После чего попробуйте загрузиться в обычную винду
01pump вне форума  
Старый 25.06.2010, 12:53   #3 (ссылка)
Новичок
 
Регистрация: 25.06.2010
Сообщений: 17
Репутация: 0
По умолчанию

01pump,
пофиксил, операционка опять загружается только до приветствия. вот новый лог:

http://exfile.ru/110679
Дройд вне форума  
Старый 25.06.2010, 12:56   #4 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Дройд,
Вот этот файл удалите C:\Program Files\Common Files\EyeLogon\WinSecurity.exe

Такой лог avz не надо делать в LiveCD. Только такие http://pchelpforum.ru/showpost.php?p=69244&postcount=2 логи делайте

Нужен лог Hijackthis.
01pump вне форума  
Старый 25.06.2010, 13:13   #5 (ссылка)
Новичок
 
Регистрация: 25.06.2010
Сообщений: 17
Репутация: 0
По умолчанию

Файл C:\Program Files\Common Files\EyeLogon\WinSecurity.exe удалил.операционка не грузится, вот новые логи

http://exfile.ru/110697

http://exfile.ru/110698
Дройд вне форума  
Старый 25.06.2010, 13:27   #6 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Дройд,

В удаленном реестре надо отредактировать записи:
Удалите этот параметр ServiceDll (со значением C:\DOCUME~1\Roman\LOCALS~1\Temp\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol113\P arameters
Удалите этот параметр ServiceDll (со значением C:\WINDOWS\System32\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol\Para meters

Так же в ключе HKEY_USERS, systemprofile_ON_C\Software\Microsoft\Windows\Curr entVersion\Run удалите параметр userinit (со значением C:\WINDOWS\system32\twex.exe)

Затем проверьте наличие файла C:\WINDOWS\system32\userinit.exe
А так же в удаленном реестре в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell должно быть Explorer.exe также у параметра Userinit значение должно быть C:\WINDOWS\system32\userinit.exe,
01pump вне форума  
Старый 25.06.2010, 14:40   #7 (ссылка)
Новичок
 
Регистрация: 25.06.2010
Сообщений: 17
Репутация: 0
По умолчанию

01pump,
1. параметр ServiceDll (со значением C:\DOCUME~1\Roman\LOCALS~1\Temp\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol113\P arameters -УДАЛИЛ

2. параметр ServiceDll (со значением C:\WINDOWS\System32\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol\Para meters - Удалил

3. параметр userinit (со значением C:\WINDOWS\system32\twex.exe) в ключе HKEY_USERS, systemprofile_ON_C\Software\Microsoft\Windows\Curr entVersion\Run удалил.

4. файл C:\WINDOWS\system32\userinit.exe - найден
5. в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell Explorer.exe
6. в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра
Userinit C:\WINDOWS\system32\userinit.exe,
Проблема осталась.
Вот новые логи:

http://exfile.ru/110727

http://exfile.ru/110728
Дройд вне форума  
Старый 25.06.2010, 14:42   #8 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Дройд,

Попробуйте в обычную винду загрузиться и вызвав диспетчер задач через него выполнить лог в avz . Главное что именно в больной винде.
01pump вне форума  
Ads
Старый 25.06.2010, 15:01   #9 (ссылка)
Новичок
 
Регистрация: 25.06.2010
Сообщений: 17
Репутация: 0
По умолчанию

Загрузился на больной винде до приветствия, из диспетчера запустил avz, вот лог исследования системы

http://exfile.ru/110734
Дройд вне форума  
Старый 25.06.2010, 15:05   #10 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Дройд,

Снова в больной винде через диспетчер задач запустите avz:
запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст:
Код:
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
DeleteService('smtpdrv');
DeleteService('ati0ydxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0ydxx.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\DOCUME~1\Roman\LOCALS~1\Temp\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol113\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
ExecuteSysClean;
RebootWindows(true);
end.
Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip
01pump вне форума  
Старый 25.06.2010, 15:20   #11 (ссылка)
Новичок
 
Регистрация: 25.06.2010
Сообщений: 17
Репутация: 0
По умолчанию

01pump,
указанный скрипт выполнил, avz сообщил о завершении, но комп не перегружается. Перегрузил резетом, проблема осталась
Дройд вне форума  
Старый 25.06.2010, 15:22   #12 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Дройд,

Где архив virusinfo_syscheck.zip ?
01pump вне форума  
Старый 25.06.2010, 15:33   #13 (ссылка)
Новичок
 
Регистрация: 25.06.2010
Сообщений: 17
Репутация: 0
По умолчанию

01pump,

Вот

http://exfile.ru/110746
Дройд вне форума  
Старый 25.06.2010, 15:35   #14 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Дройд,

Скажите а в папке C:\Windows у вас есть файл explorer.exe ?
01pump вне форума  
Старый 25.06.2010, 15:36   #15 (ссылка)
Новичок
 
Регистрация: 25.06.2010
Сообщений: 17
Репутация: 0
По умолчанию

01pump,
есть, из деспетчера пытаюсь запусть его, но ничего не происходит.
Дройд вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Нужен порнобаннер дормидонд Общение по интересам 16 01.11.2010 15:54
порнобаннер pornhub Jysa Безопасность 12 03.08.2010 20:00
Выскочил порнобаннер Машустик Безопасность 12 01.07.2010 15:17
Рекламный порнобаннер pornohub Darth Reals Безопасность 32 21.06.2010 22:31
Порнобаннер www.pornohnub.com на 3381 Киндер Безопасность 11 30.05.2010 15:01
Порнобаннер пропал, но...! chan.andrej2011 Безопасность 12 23.05.2010 21:05
Проблема: опять порнобаннер elenka Безопасность 15 15.04.2010 19:55
Неудачно прошил BIOS видеокарты ASUS ENGTS250 DK/DI/1GD3/A kio2 Неисправности, настройка 3 03.03.2010 02:51
Как убрать порнобаннер s1gm@ Безопасность 1 29.01.2010 13:24
Розовый Порнобаннер ksandr1305 Безопасность 13 05.01.2010 04:00


Текущее время: 09:25. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.