Неудачно удалил порнобаннер

Дройд · 25.06.2010, 12:32

Компьютер подхватил порнобаннер, данный рекламный модуль блокировал всё, загрузился erd-commander и почистил папку C:\Documents and Settings\User\Local Settings\Temp, в результате операционка грузится только до станицы приветствия и встаёт, при нажатии ctrl+alt+del запускается диспетчер задач и появляется пустой рабочий стол. Загружаюсь под LiveCD, вот логи:
http://exfile.ru/110679
http://exfile.ru/110680

01pump · 25.06.2010, 12:37

Дройд,

Загрузившись с LiveCD и запустив Hijackthis с удаленным реестром пофиксите (вот так http://pchelpforum.ru/showpost.php?p=195075&postcount=1) в нем строки

Код:

 
O4 - HKCU\..\Run: [autoexec] C:\Program Files\Common Files\EyeLogon\WinSecurity.exe
O4 - HKUS\.DEFAULT\..\Run: [userinit] C:\WINDOWS\system32\twex.exe (User 'Default user')

После чего попробуйте загрузиться в обычную винду

Дройд · 25.06.2010, 12:53

01pump,
пофиксил, операционка опять загружается только до приветствия. вот новый лог:

http://exfile.ru/110679

01pump · 25.06.2010, 12:56

Дройд,
Вот этот файл удалите C:\Program Files\Common Files\EyeLogon\WinSecurity.exe

Такой лог avz не надо делать в LiveCD. Только такие http://pchelpforum.ru/showpost.php?p=69244&postcount=2 логи делайте

Нужен лог Hijackthis.

Дройд · 25.06.2010, 13:13

Файл C:\Program Files\Common Files\EyeLogon\WinSecurity.exe удалил.операционка не грузится, вот новые логи

http://exfile.ru/110697

http://exfile.ru/110698

01pump · 25.06.2010, 13:27

Дройд,

В удаленном реестре надо отредактировать записи:
Удалите этот параметр ServiceDll (со значением C:\DOCUME~1\Roman\LOCALS~1\Temp\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol113\P arameters
Удалите этот параметр ServiceDll (со значением C:\WINDOWS\System32\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol\Para meters

Так же в ключе HKEY_USERS, systemprofile_ON_C\Software\Microsoft\Windows\Curr entVersion\Run удалите параметр userinit (со значением C:\WINDOWS\system32\twex.exe)

Затем проверьте наличие файла C:\WINDOWS\system32\userinit.exe
А так же в удаленном реестре в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell должно быть Explorer.exe также у параметра Userinit значение должно быть C:\WINDOWS\system32\userinit.exe,

Дройд · 25.06.2010, 14:40

01pump,
1. параметр ServiceDll (со значением C:\DOCUME~1\Roman\LOCALS~1\Temp\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol113\P arameters -УДАЛИЛ

2. параметр ServiceDll (со значением C:\WINDOWS\System32\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol\Para meters - Удалил

3. параметр userinit (со значением C:\WINDOWS\system32\twex.exe) в ключе HKEY_USERS, systemprofile_ON_C\Software\Microsoft\Windows\Curr entVersion\Run удалил.

4. файл C:\WINDOWS\system32\userinit.exe - найден
5. в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell Explorer.exe
6. в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра
Userinit C:\WINDOWS\system32\userinit.exe,
Проблема осталась.
Вот новые логи:

http://exfile.ru/110727

http://exfile.ru/110728

01pump · 25.06.2010, 14:42

Дройд,

Попробуйте в обычную винду загрузиться и вызвав диспетчер задач через него выполнить лог в avz . Главное что именно в больной винде.

Дройд · 25.06.2010, 15:01

Загрузился на больной винде до приветствия, из диспетчера запустил avz, вот лог исследования системы

http://exfile.ru/110734

01pump · 25.06.2010, 15:05

Дройд,

Снова в больной винде через диспетчер задач запустите avz:
запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
DeleteService('smtpdrv');
DeleteService('ati0ydxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0ydxx.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\DOCUME~1\Roman\LOCALS~1\Temp\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol113\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
ExecuteSysClean;
RebootWindows(true);
end.

Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

Дройд · 25.06.2010, 15:20

01pump,
указанный скрипт выполнил, avz сообщил о завершении, но комп не перегружается. Перегрузил резетом, проблема осталась

01pump · 25.06.2010, 15:22

Дройд,

Где архив virusinfo_syscheck.zip ?

Дройд · 25.06.2010, 15:33

01pump,

Вот

http://exfile.ru/110746

01pump · 25.06.2010, 15:35

Дройд,

Скажите а в папке C:\Windows у вас есть файл explorer.exe ?

Дройд · 25.06.2010, 15:36

01pump,
есть, из деспетчера пытаюсь запусть его, но ничего не происходит.

25.06.2010, 12:32	#1
Дройд Новичок Регистрация: 25.06.2010 Сообщений: 17 Репутация: 0	Неудачно удалил порнобаннер Компьютер подхватил порнобаннер, данный рекламный модуль блокировал всё, загрузился erd-commander и почистил папку C:\Documents and Settings\User\Local Settings\Temp, в результате операционка грузится только до станицы приветствия и встаёт, при нажатии ctrl+alt+del запускается диспетчер задач и появляется пустой рабочий стол. Загружаюсь под LiveCD, вот логи: http://exfile.ru/110679 http://exfile.ru/110680

25.06.2010, 12:37	#2
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Дройд, Загрузившись с LiveCD и запустив Hijackthis с удаленным реестром пофиксите (вот так http://pchelpforum.ru/showpost.php?p=195075&postcount=1) в нем строки Код: O4 - HKCU\..\Run: [autoexec] C:\Program Files\Common Files\EyeLogon\WinSecurity.exe O4 - HKUS\.DEFAULT\..\Run: [userinit] C:\WINDOWS\system32\twex.exe (User 'Default user') После чего попробуйте загрузиться в обычную винду

25.06.2010, 15:05	#10
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Дройд, Снова в больной винде через диспетчер задач запустите avz: запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('tcpsr'); DeleteService('smtpdrv'); DeleteService('ati0ydxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0ydxx.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\DOCUME~1\Roman\LOCALS~1\Temp\netprotocol.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol113\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\System32\netprotocol.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll'); ExecuteSysClean; RebootWindows(true); end. Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Нужен порнобаннер	дормидонд	Общение по интересам	16	01.11.2010 15:54
порнобаннер pornhub	Jysa	Безопасность	12	03.08.2010 20:00
Выскочил порнобаннер	Машустик	Безопасность	12	01.07.2010 15:17
Рекламный порнобаннер pornohub	Darth Reals	Безопасность	32	21.06.2010 22:31
Порнобаннер www.pornohnub.com на 3381	Киндер	Безопасность	11	30.05.2010 15:01
Порнобаннер пропал, но...!	chan.andrej2011	Безопасность	12	23.05.2010 21:05
Проблема: опять порнобаннер	elenka	Безопасность	15	15.04.2010 19:55
Неудачно прошил BIOS видеокарты ASUS ENGTS250 DK/DI/1GD3/A	kio2	Неисправности, настройка	3	03.03.2010 02:51
Как убрать порнобаннер	s1gm@	Безопасность	1	29.01.2010 13:24
Розовый Порнобаннер	ksandr1305	Безопасность	13	05.01.2010 04:00

25.06.2010, 12:53	#3
Дройд Новичок Регистрация: 25.06.2010 Сообщений: 17 Репутация: 0	01pump, пофиксил, операционка опять загружается только до приветствия. вот новый лог: http://exfile.ru/110679

25.06.2010, 12:56	#4
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Дройд, Вот этот файл удалите C:\Program Files\Common Files\EyeLogon\WinSecurity.exe Такой лог avz не надо делать в LiveCD. Только такие http://pchelpforum.ru/showpost.php?p=69244&postcount=2 логи делайте Нужен лог Hijackthis.

25.06.2010, 13:13	#5
Дройд Новичок Регистрация: 25.06.2010 Сообщений: 17 Репутация: 0	Файл C:\Program Files\Common Files\EyeLogon\WinSecurity.exe удалил.операционка не грузится, вот новые логи http://exfile.ru/110697 http://exfile.ru/110698

25.06.2010, 13:27	#6
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Дройд, В удаленном реестре надо отредактировать записи: Удалите этот параметр ServiceDll (со значением C:\DOCUME~1\Roman\LOCALS~1\Temp\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol113\P arameters Удалите этот параметр ServiceDll (со значением C:\WINDOWS\System32\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol\Para meters Так же в ключе HKEY_USERS, systemprofile_ON_C\Software\Microsoft\Windows\Curr entVersion\Run удалите параметр userinit (со значением C:\WINDOWS\system32\twex.exe) Затем проверьте наличие файла C:\WINDOWS\system32\userinit.exe А так же в удаленном реестре в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell должно быть Explorer.exe также у параметра Userinit значение должно быть C:\WINDOWS\system32\userinit.exe,

25.06.2010, 14:40	#7
Дройд Новичок Регистрация: 25.06.2010 Сообщений: 17 Репутация: 0	01pump, 1. параметр ServiceDll (со значением C:\DOCUME~1\Roman\LOCALS~1\Temp\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol113\P arameters -УДАЛИЛ 2. параметр ServiceDll (со значением C:\WINDOWS\System32\netprotocol.dll ) в ключе HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Netprotocol\Para meters - Удалил 3. параметр userinit (со значением C:\WINDOWS\system32\twex.exe) в ключе HKEY_USERS, systemprofile_ON_C\Software\Microsoft\Windows\Curr entVersion\Run удалил. 4. файл C:\WINDOWS\system32\userinit.exe - найден 5. в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell Explorer.exe 6. в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit C:\WINDOWS\system32\userinit.exe, Проблема осталась. Вот новые логи: http://exfile.ru/110727 http://exfile.ru/110728

25.06.2010, 14:42	#8
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Дройд, Попробуйте в обычную винду загрузиться и вызвав диспетчер задач через него выполнить лог в avz . Главное что именно в больной винде.

25.06.2010, 15:01	#9
Дройд Новичок Регистрация: 25.06.2010 Сообщений: 17 Репутация: 0	Загрузился на больной винде до приветствия, из диспетчера запустил avz, вот лог исследования системы http://exfile.ru/110734

25.06.2010, 15:20	#11
Дройд Новичок Регистрация: 25.06.2010 Сообщений: 17 Репутация: 0	01pump, указанный скрипт выполнил, avz сообщил о завершении, но комп не перегружается. Перегрузил резетом, проблема осталась

25.06.2010, 15:22	#12
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Дройд, Где архив virusinfo_syscheck.zip ?

25.06.2010, 15:33	#13
Дройд Новичок Регистрация: 25.06.2010 Сообщений: 17 Репутация: 0	01pump, Вот http://exfile.ru/110746

Ads

25.06.2010, 15:35	#14
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Дройд, Скажите а в папке C:\Windows у вас есть файл explorer.exe ?

25.06.2010, 15:36	#15
Дройд Новичок Регистрация: 25.06.2010 Сообщений: 17 Репутация: 0	01pump, есть, из деспетчера пытаюсь запусть его, но ничего не происходит.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)