11.10.2010, 20:23 | #1 (ссылка) |
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
Баннер под названием System Security Antivirus заблокировал рабочий стол
Я подхватил вирус, который блокирует работу рабочего стола (он вообще не загружается). Называется System Security Antivirus и там написанно, что в связи с тем что я персмотрел порно с элементами насилия и прочими вредными программами, которыми кишит мой комп, все заблокированно . Постебался кто-то хоршо, я бы посмеялся, если бы не полная _опа!
Безопасный режим не работает , все кнопки тоже. Я перезагружаю комп и устанавлваю винду на другой диск, все ок, установилось. Сканирую Cureit'ом, avz'ом и касперским Virus Removal Tool Setup. Все что-то находят лечат, удаляют - эффект: рабочий стол заблокирован и даже код разблокировки получить нельзя, потому как не работают кнопки уже на самом баннере. Я понимаю, что по нормальному надо форматнуть и переустановить винду, но все таки вдруг можно что-то сделать, тем более я не знаю что потом делать со второй виндой.Я полный чайник. Так вот логи я присоединил, правда не уверен что они то что надо потому как делал их из второй винды. Подскажите что да как ... может можно откатить систему? Точки восстановления у меня включенны но как это можно сделать с другой винды? |
11.10.2010, 20:33 | #2 (ссылка) |
Мастер
|
Borislav, че то логов не вижу.
Из под здоровой системы проделайте следующее. Запускаем Редактор реестра (Пуск-Выполнит-regedit), шелкаем по ветке HKEY_LOCAL_MACHINE. Далее Файл-Загрузить куст (в редакторе реестра) выйдет окошко, там идем в папку "больной" систему находим папку WINDOWS (больная)\System32\config там находим файл software (без расширения) и нажимаем Открыть. Откроется окошко, там задаем любое имя и нажимаем ОК. В ветке HKEY_LOCAL_MACHINE появится папка с заданным именем. Открываем ее идем по пути Microsoft\Windows NT\CurrentVersion\Windows справа находим параметр AppInit_DLLs шелкните по ней два раза. Покажите содержимое параметра. Здесь Microsoft\Windows NT\CurrentVersion\Winlogon значение ключа Shell (справа) должно быть таким Explorer.exe, если значение отличается - исправить на правильное. Смотрим также значение ключа Userinit. Правильное значение Код:
C:\WINDOWS\system32\userinit.exe, Теперь снова шелкаем по созданной нами папке и проделываем следующее Файл-Выгрузить куст. |
11.10.2010, 21:05 | #3 (ссылка) |
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
Спасибо!
Спасибо. Все загрузилось. Единственное я вообще не понимаю, как ты можешь во всех этих файлах ориентироваться, я так даже по написанному еле-еле понял, что делать. У меня еще вопрос, ты не знаешь как можно удалить вторую винду без форматирования ... но это так, конечно, не очень важно. Еще раз спасибо. Скажи я чем-то могу отблагодарить? Единственное я в компах почти не жу-жу, cам по профессии психолог, работаю в Samsung'е, так что вдруг что-то понадобиться пиши на ivlev.samsung@gmail.com
Еще раз громадное спасибо, я пошел авастом проверяться ... ---------- Добавлено в 20:05 ---------- Предыдущее сообщение было написано в 20:04 ---------- Да логи я и правда забыл присоединить ... |
11.10.2010, 23:24 | #5 (ссылка) | |
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
Цитата:
А логи вот: первый до поднятия системы из могилы, второй после ... ) http://zalil.ru/29800657 http://zalil.ru/29800671 Текстом не поучается, ограничение на кол-во знаков (я думаю ты знаешь ), а для сканов слишом большой файл. |
|
12.10.2010, 00:08 | #6 (ссылка) | |
Мастер
|
Цитата:
|
|
12.10.2010, 14:11 | #7 (ссылка) |
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
Логи
Эти логи я сделал программой названия которой не помню, помоему hijack. Она сохраняет в тектовом файле, вот их оба, до и после, я и прикрепил выше. Но сейчас сделал и avz'ом ...
http://exfile.ru/130924 Еще раз спасибо! ... кстати у меня почему-то отрубился диспетчер задач и еще кое-что по мелочи глючит, это важно? |
12.10.2010, 14:36 | #8 (ссылка) |
Мастер
|
Borislav, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('M:\Ljrnjh\drwsxtn.dll',''); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\EagleNT.sys'); DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sglmsrv.exe'); DeleteFile('C:\Program Files\plugin.exe'); DeleteFile('C:\WINDOWS\system32\rescuewin.exe'); DeleteFile('\\?\globalroot\systemroot\system32\iVhg4Zl.exe'); DeleteFile('M:\Ljrnjh\drwsxtn.dll'); DelCLSID('{e7593602-124b-47c9-9f73-a69308edc973}'); DeleteService('EagleNT'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{e7593602-124b-47c9-9f73-a69308edc973}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(11); ExecuteRepair(20); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. |
Ads | |
12.10.2010, 14:41 | #9 (ссылка) |
Стажёр
|
Блин, не успел..
Borislav, обязательно Отключите восстановление системы перед выполнением предложенного выше скрипта У вас Worm.Win32.AutoRun Iljeben, папку C:\Documents and Settings\All Users\Application Data\srtserv лучше бы зачистить. Последний раз редактировалось Гарад; 12.10.2010 в 14:44. Причина: Не успел... |
13.10.2010, 06:32 | #11 (ссылка) |
Мастер
|
Borislav, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll'); DeleteFile('\\?\globalroot\systemroot\system32\iVhg4Zl.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
14.10.2010, 18:54 | #14 (ссылка) |
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
Перезалить? ... )))
http://exfile.ru/131467 |
14.10.2010, 19:09 | #15 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Borislav, Сидит у вас одна гадость крепко...
Вот этот лог сделайте http://pchelpforum.ru/showpost.php?p=312969&postcount=9 |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вирус под названием System Security Antivirus блокирует рабочий стол | aleksandr pisarev | Windows 7 | 14 | 26.12.2010 21:14 |
Рабочий стол | Vampir_138 | Windows XP | 24 | 15.12.2010 18:21 |
РАБОЧИЙ СТОЛ | sergei-garant | Windows XP | 37 | 31.10.2010 21:46 |
Рабочий стол | Вячеславв | Windows 7 | 1 | 26.07.2010 12:09 |
Баннер блокирует рабочий стол | Sicrus | Безопасность | 6 | 27.06.2010 21:32 |
Подцепил порно баннер на рабочий стол | ALTchel | Безопасность | 4 | 21.03.2010 23:43 |
Баннер на рабочий стол | ak-cologne | Windows 7 | 0 | 24.01.2010 03:30 |
Рабочий Стол | igoryanich | Windows Vista | 4 | 31.10.2009 20:00 |
ESET Smart Security/NOD32 Antivirus CRACK | tavrogen | Безопасность | 9 | 17.09.2009 22:20 |
Рабочий стол. | Пельмешка | Windows XP | 3 | 15.09.2009 12:47 |
Рабочий стол | GIGO | Безопасность | 16 | 06.08.2009 07:32 |
Вирус System Security 2009 | Vike | Безопасность | 9 | 25.07.2009 03:22 |