24.10.2010, 18:20 | #18 (ссылка) |
Новичок
Регистрация: 19.06.2009
Сообщений: 20
Репутация: 0
|
Эммм... Как то странно выходит... Этих файлов нет по указанному пути.
НО. Они есть C:\WINDOWS\Prefetch\MSLLOQP.EXE-13D4CF9D.pf а второй вообще найти не могу( Давить хоть один, и кидать лог? Или другие действия? |
24.10.2010, 20:28 | #21 (ссылка) |
Мастер
|
NaOb, удалите в МВАМ:
Код:
Зараженные папки: C:\Program Files\VVSN (Adware.WhenU) -> No action taken. Зараженные файлы: C:\Qoobox\Quarantine\C\Documents and Settings\Дмитрий\Application Data\Desktopicon\eBayShortcuts.exe.vir (Adware.ADON) -> No action taken. C:\Documents and Settings\Дмитрий\Local Settings\Temp\Rar$EX00.094\rsload.net.Malwarebytes.Anti-Malware.1.46.keygen-FFF\keygen\FFF-MBAM145.exe (Dont.Steal.Our.Software) -> No action taken. C:\WINDOWS\innounp.exe (Malware.Packer) -> No action taken. |
25.10.2010, 11:29 | #24 (ссылка) |
Новичок
Регистрация: 19.06.2009
Сообщений: 20
Репутация: 0
|
Увы я вернулся... Проблема ещё имеет место быть( Щас выгружу логи АВЗ
Выдает ошибку "Отказано в доступе к указанному устройству пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту." при доступе к любому файлу как я говорил раньше. Это можно предотвратить фаерфолом. Пускаю в инет только оперу. Но когда фаерфол убираю для скана системы проблема появляется. ---------- Добавлено в 08:53 ---------- Предыдущее сообщение было написано в 08:07 ---------- Выполнил лог HiJackThis. http://zalil.ru/29864171 Не понравилась строка. F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windo ws\system32\mslloqp.exe,c:\windows\system32\ghirei f.exe, Это ж ведь то что надо давить. АВЗ пока не доступен. Попытаюсь включить. Может сделать всё "в лоб". Заменить userinit.exe на файл с чистого компа. Те двое удалить и почистить от них реестр? плюс ко всему на компе даже и подозрений на эти два файла нету. Как испарились c:\windows\system32\mslloqp.exe,c:\windows\system3 2\ghireif.exe, оба нашлись в реестре Ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Давить?? ---------- Добавлено в 09:29 ---------- Предыдущее сообщение было написано в 08:53 ---------- c:\windows\system32\mslloqp.exe,c:\windows\system3 2\ghireif.exe Оба этих жука нашел в реестре Совпадение: c:\windows\system32\userinit.exe,c:\windows\system 32\mslloqp.exe,c:\windows\system32\ghireif.exe, Где найдено: В значении параметра Путь в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, "Userinit" --------------------------------------------------------- Совпадение: C:\WINDOWS\system32\mslloqp.exe Где найдено: В значении параметра Путь в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, "usrint" Совпадение: ghireif Где найдено: В значении параметра Путь в реестре: HKEY_USERS\S-1-5-21-1004336348-1078081533-839522115-1005\Software\Microsoft\Search Assistant\ACMru\5603, "000" --------------------------------------------------------- Совпадение: ghireif.exe Где найдено: В значении параметра Путь в реестре: HKEY_USERS\S-1-5-21-1004336348-1078081533-839522115-1005\Software\Microsoft\Search Assistant\ACMru\5603, "002" --------------------------------------------------------- Совпадение: c:\windows\system32\userinit.exe,c:\windows\system 32\mslloqp.exe,c:\windows\system32\ghireif.exe, Где найдено: В значении параметра Путь в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, "Userinit" Что делать с ними дальше? Последний раз редактировалось NaOb; 25.10.2010 в 11:21. |
Ads | |
25.10.2010, 12:22 | #25 (ссылка) | |
Мастер
|
Скорее всего сам Userinit.exe не при чем. Это два зловреда-друзья прописываются в путь userinit. Чтоб подгружаться с ним.
Цитата:
Пофиксите в HijackThis: Код:
R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\mslloqp.exe,c:\win dows\system32\ghireif.exe, |
|
25.10.2010, 12:42 | #26 (ссылка) |
Новичок
Регистрация: 19.06.2009
Сообщений: 20
Репутация: 0
|
Удалил ключ. Вот логи.
http://zalil.ru/29864544 И ещё... При фиксе в ручную данного параметра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ну и тд вылазит ошибка "Не удается изменить "Userinit". Ошибка при записи нового значения параметра" Наверное поэтому его и не могут другие утилиты пофиксить... Может это можно както обойти? Последний раз редактировалось NaOb; 25.10.2010 в 12:48. |
25.10.2010, 12:54 | #27 (ссылка) |
Мастер
|
NaOb, загрузитесь в "Безопасном режиме" (нажимайте F8 во время загрузки компа).
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\system32\ghireif.exe'); DeleteFile('c:\windows\system32\mslloqp.exe'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. |
25.10.2010, 14:42 | #28 (ссылка) |
Новичок
Регистрация: 19.06.2009
Сообщений: 20
Репутация: 0
|
Безопасный режим не грузится. Зависает. Щас подгружусь через LiveCD
Толку никакого вроде( http://zalil.ru/29864814 Через безопасный так и не вошёл( ---------- Добавлено в 11:50 ---------- Предыдущее сообщение было написано в 11:19 ---------- Эти два брата как сидели в Userinit в реестре так и сидят... Я уж думаю может сделать арх копию рееста, удалить этот параметр, и создать новый такого же неазвания только без этих двух дружков? ---------- Добавлено в 12:02 ---------- Предыдущее сообщение было написано в 11:50 ---------- Самих файлов этих друзей на компе не осталось. Остались только записи в реестре... Ну или где то под другими именами валяются они на харде... Что вот с реестром делать то..? Как их убрать оттуда? ---------- Добавлено в 12:42 ---------- Предыдущее сообщение было написано в 12:02 ---------- Попробую загрузиться через ERD Commander и убрать тот ключ из реестра Последний раз редактировалось NaOb; 25.10.2010 в 13:45. |
25.10.2010, 16:19 | #29 (ссылка) |
Мастер
|
NaOb, пролечись курейтом. Потом пришли новые логи. У тебя некоторые системные файлы имеют разные даты, то ли пропатчены вирем, то ли еще что.
Через ERD Commander, еще раз поищи эти файлы. Шелкни по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon правой кнопкой мыши. Нажми "Разрещения", выбери своего пользователя, сделай скрин и пришли. |
25.10.2010, 16:40 | #30 (ссылка) |
Новичок
Регистрация: 19.06.2009
Сообщений: 20
Репутация: 0
|
Cкрин
http://zalil.ru/29865616 Логи http://zalil.ru/29865621 Курейтом сканился - чисто... Да и так ДрВеб стоит... Из реестра удалил) Их больше нет. Но проблема вроде как не изчезла... Последний раз редактировалось NaOb; 25.10.2010 в 16:52. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Не заходит на сайты | ShineOn | Безопасность | 2 | 30.10.2010 15:48 |
Не обновляется NOD32 + не заходит на некоторые сайты | Горячий Слесарь | Безопасность | 17 | 19.05.2010 20:02 |
Не заходит на сайты | Эльвира Г | Безопасность | 6 | 18.05.2010 13:51 |
Не заходит ИЕ на сайты антивирусов | barmax3 | Безопасность | 6 | 17.05.2010 15:54 |
Не заходит на сайты | Сергей1122 | Безопасность | 6 | 11.04.2010 13:07 |
Не заходит на некоторые сайты | ganjahbaza | Безопасность | 2 | 02.04.2010 09:16 |
Бук не заходит на некоторые сайты и форумы | Ририна | Интернет и сети | 21 | 02.04.2010 01:11 |
Не обновляет антивирусы, не заходит на сайты антивирусов | Billowed | Безопасность | 7 | 20.03.2010 13:15 |
Не заходит на сайты производителей антивирусов | Nord | Безопасность | 54 | 08.03.2010 21:30 |
Не заходит на сайты с сертификацией | extreme-boy | Windows XP | 5 | 06.03.2010 19:21 |
Браузер сам запускается и заходит на страницу с рекламой от subscribe | Trump | Безопасность | 1 | 24.01.2010 00:45 |