 |
|
|
24.10.2010, 18:20
|
#18 (ссылка) |
|
Новичок
Регистрация: 19.06.2009
Сообщений: 20
Репутация: 0
|
Эммм... Как то странно выходит... Этих файлов нет по указанному пути.
НО. Они есть C:\WINDOWS\Prefetch\MSLLOQP.EXE-13D4CF9D.pf а второй вообще найти не могу( Давить хоть один, и кидать лог? Или другие действия? |
|
|
24.10.2010, 20:28
|
#21 (ссылка) |
|
Мастер
|
NaOb, удалите в МВАМ:
Код:
Зараженные папки: C:\Program Files\VVSN (Adware.WhenU) -> No action taken. Зараженные файлы: C:\Qoobox\Quarantine\C\Documents and Settings\Дмитрий\Application Data\Desktopicon\eBayShortcuts.exe.vir (Adware.ADON) -> No action taken. C:\Documents and Settings\Дмитрий\Local Settings\Temp\Rar$EX00.094\rsload.net.Malwarebytes.Anti-Malware.1.46.keygen-FFF\keygen\FFF-MBAM145.exe (Dont.Steal.Our.Software) -> No action taken. C:\WINDOWS\innounp.exe (Malware.Packer) -> No action taken. |
|
|
|
25.10.2010, 11:29
|
#24 (ссылка) |
|
Новичок
Регистрация: 19.06.2009
Сообщений: 20
Репутация: 0
|
Увы я вернулся... Проблема ещё имеет место быть( Щас выгружу логи АВЗ
Выдает ошибку "Отказано в доступе к указанному устройству пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту." при доступе к любому файлу как я говорил раньше. Это можно предотвратить фаерфолом. Пускаю в инет только оперу. Но когда фаерфол убираю для скана системы проблема появляется. ---------- Добавлено в 08:53 ---------- Предыдущее сообщение было написано в 08:07 ---------- Выполнил лог HiJackThis. http://zalil.ru/29864171 Не понравилась строка. F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windo ws\system32\mslloqp.exe,c:\windows\system32\ghirei f.exe, Это ж ведь то что надо давить. АВЗ пока не доступен. Попытаюсь включить. Может сделать всё "в лоб". Заменить userinit.exe на файл с чистого компа. Те двое удалить и почистить от них реестр? плюс ко всему на компе даже и подозрений на эти два файла нету. Как испарились c:\windows\system32\mslloqp.exe,c:\windows\system3 2\ghireif.exe, оба нашлись в реестре Ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Давить?? ---------- Добавлено в 09:29 ---------- Предыдущее сообщение было написано в 08:53 ---------- c:\windows\system32\mslloqp.exe,c:\windows\system3 2\ghireif.exe Оба этих жука нашел в реестре Совпадение: c:\windows\system32\userinit.exe,c:\windows\system 32\mslloqp.exe,c:\windows\system32\ghireif.exe, Где найдено: В значении параметра Путь в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, "Userinit" --------------------------------------------------------- Совпадение: C:\WINDOWS\system32\mslloqp.exe Где найдено: В значении параметра Путь в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, "usrint" Совпадение: ghireif Где найдено: В значении параметра Путь в реестре: HKEY_USERS\S-1-5-21-1004336348-1078081533-839522115-1005\Software\Microsoft\Search Assistant\ACMru\5603, "000" --------------------------------------------------------- Совпадение: ghireif.exe Где найдено: В значении параметра Путь в реестре: HKEY_USERS\S-1-5-21-1004336348-1078081533-839522115-1005\Software\Microsoft\Search Assistant\ACMru\5603, "002" --------------------------------------------------------- Совпадение: c:\windows\system32\userinit.exe,c:\windows\system 32\mslloqp.exe,c:\windows\system32\ghireif.exe, Где найдено: В значении параметра Путь в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, "Userinit" Что делать с ними дальше? Последний раз редактировалось NaOb; 25.10.2010 в 11:21. |
|
|
| Ads | |
|
25.10.2010, 12:22
|
#25 (ссылка) | ||
|
Мастер
|
Цитата:
Цитата:
Пофиксите в HijackThis: Код:
R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\mslloqp.exe,c:\win dows\system32\ghireif.exe, |
||
|
|
|
25.10.2010, 12:42
|
#26 (ссылка) |
|
Новичок
Регистрация: 19.06.2009
Сообщений: 20
Репутация: 0
|
Удалил ключ. Вот логи.
http://zalil.ru/29864544 И ещё... При фиксе в ручную данного параметра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ну и тд вылазит ошибка "Не удается изменить "Userinit". Ошибка при записи нового значения параметра" Наверное поэтому его и не могут другие утилиты пофиксить... Может это можно както обойти? Последний раз редактировалось NaOb; 25.10.2010 в 12:48. |
|
|
|
25.10.2010, 12:54
|
#27 (ссылка) |
|
Мастер
|
NaOb, загрузитесь в "Безопасном режиме" (нажимайте F8 во время загрузки компа).
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\ghireif.exe');
DeleteFile('c:\windows\system32\mslloqp.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
25.10.2010, 14:42
|
#28 (ссылка) |
|
Новичок
Регистрация: 19.06.2009
Сообщений: 20
Репутация: 0
|
Безопасный режим не грузится. Зависает. Щас подгружусь через LiveCD
Толку никакого вроде( http://zalil.ru/29864814 Через безопасный так и не вошёл( ---------- Добавлено в 11:50 ---------- Предыдущее сообщение было написано в 11:19 ---------- Эти два брата как сидели в Userinit в реестре так и сидят... Я уж думаю может сделать арх копию рееста, удалить этот параметр, и создать новый такого же неазвания только без этих двух дружков? ---------- Добавлено в 12:02 ---------- Предыдущее сообщение было написано в 11:50 ---------- Самих файлов этих друзей на компе не осталось. Остались только записи в реестре... Ну или где то под другими именами валяются они на харде... Что вот с реестром делать то..? Как их убрать оттуда? ---------- Добавлено в 12:42 ---------- Предыдущее сообщение было написано в 12:02 ---------- Попробую загрузиться через ERD Commander и убрать тот ключ из реестра 
Последний раз редактировалось NaOb; 25.10.2010 в 13:45. |
|
|
|
25.10.2010, 16:19
|
#29 (ссылка) | |
|
Мастер
|
NaOb, пролечись курейтом. Потом пришли новые логи. У тебя некоторые системные файлы имеют разные даты, то ли пропатчены вирем, то ли еще что.
Через ERD Commander, еще раз поищи эти файлы. Цитата:
|
|
|
|
|
25.10.2010, 16:40
|
#30 (ссылка) |
|
Новичок
Регистрация: 19.06.2009
Сообщений: 20
Репутация: 0
|
Cкрин
http://zalil.ru/29865616 Логи http://zalil.ru/29865621 Курейтом сканился - чисто... Да и так ДрВеб стоит... Из реестра удалил) Их больше нет. Но проблема вроде как не изчезла... Последний раз редактировалось NaOb; 25.10.2010 в 16:52. |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Не заходит на сайты | ShineOn | Безопасность | 2 | 30.10.2010 15:48 |
| Не обновляется NOD32 + не заходит на некоторые сайты | Горячий Слесарь | Безопасность | 17 | 19.05.2010 20:02 |
| Не заходит на сайты | Эльвира Г | Безопасность | 6 | 18.05.2010 13:51 |
| Не заходит ИЕ на сайты антивирусов | barmax3 | Безопасность | 6 | 17.05.2010 15:54 |
| Не заходит на сайты | Сергей1122 | Безопасность | 6 | 11.04.2010 13:07 |
| Не заходит на некоторые сайты | ganjahbaza | Безопасность | 2 | 02.04.2010 09:16 |
| Бук не заходит на некоторые сайты и форумы | Ририна | Интернет и сети | 21 | 02.04.2010 01:11 |
| Не обновляет антивирусы, не заходит на сайты антивирусов | Billowed | Безопасность | 7 | 20.03.2010 13:15 |
| Не заходит на сайты производителей антивирусов | Nord | Безопасность | 54 | 08.03.2010 21:30 |
| Не заходит на сайты с сертификацией | extreme-boy | Windows XP | 5 | 06.03.2010 19:21 |
| Браузер сам запускается и заходит на страницу с рекламой от subscribe | Trump | Безопасность | 1 | 24.01.2010 00:45 |
Пока!
