11.11.2010, 00:52 | #31 (ссылка) |
Знаток
|
Ща качаю... Если правильно смонтирую, попробую.
Курейтом проверял больше половины и вылетел. Ничего ни нашёл... ---------- Добавлено в 01:52 ---------- Предыдущее сообщение было написано в 01:45 ---------- 75% скачал, проверять буду уж утром или днём. Ща запишу на диск, если получится... |
13.11.2010, 01:38 | #32 (ссылка) |
Знаток
|
Во, бадяга! Эта зараза не даёт выйти даже на этот сайт и подобные. Нашёл в поисковике ссыль на сайт киберфорума (или типа того), что у какого-то чела вирь не даёт зайти на антивирусные сайты и им подобные, в частности на pchelpforum. Нажал на ссыль - вылетел из интернета, ещё раз - то же самое. Хотя сюда не входил уже два дня, якобы проблемы с соединением.
Додумался попробовать выйти с Алкида в интернет, настроил как-то - и вот я здесь. Кому не лень читать, опишу что было до этого, так как трабла серьёзная... Короче как я втемяшил при запуске AVZ, ComboFix и других експлорер перезапускает процесс Winlogon (который просился в интернет и попал). По крайней мере в уведомлениях системы вся эта куча перезапусков эксплорера связана именно с этим процессом. Наверно вирус (троян) его использует. Пробовал выгрузить - не получается, пишет что это критический системный процесс. Я не спорю, хотя не уверен, но ведь раньше, по-моему, я его выгружал да и в процессах его не было. Просканировал с Dr WEB Live CD. Нашёл 2 штуки: этот chkntfs в автозагрузке и ещё чё-то с командной строкой что-ли связанное (не помню). Удалил. Загрузил систему - всё по прежнему: не запускаются ни AVZ, ни ComboFix. На сайт PCHelpForum не заходит пока. На диске С появилась папка 32788R22FWJFW с папкой License и пакетными файлами MS-DOS и файл REMOVE_THIS_FILE.livecd.swap. Кстати как насчёт найденного МВАМ C:\WINDOWS\system32\mndosnet.dll (Trojan.Vundo) -> No action taken. Мож попробовать удалить? Нашёл диск зверя с алкидом. На алкиде пытался запустить чё-то от касперского (AVP 8 что ли) - выдал ошибку. Доктор веб уже надоел, Ransom Hide и простым касперам не пробовал. Запустил AVZ с этого алкида. Копирую проблемы лога AVZ с диска Alkid Live: 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Детектирована модификация IAT: LoadLibraryA - 6602BCB3<>7C801D77 Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2 >>> X:\autorun.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности) 9. Мастер поиска и устранения проблем >> Нарушение ассоциации EXE файлов >> Нарушение ассоциации COM файлов >> Нарушение ассоциации REG файлов >> Модифицированы префиксы протоколов >> Заблокирована возможность завершения сеанса >> Заблокирована закладка Заставка в окне свойств экрана >> Заблокирован доступ к настройкам принтеров >> Меню Пуск - заблокированы элементы >> Заблокирован пункт меню Справка и техподдержка >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей >> Заблокирована возможность смены темы рабочего стола В общем, зараза очень умная... Так что, уважаемые спецы, давайте вместе эту заразу уберём! Имею два лайва: Alkid (с котрого юзаю) и Hiren Boot СD (этот послабее - в интернет выйти недопёр как снего, если можно). Что ещё можно сделать? ---------- Добавлено в 02:38 ---------- Предыдущее сообщение было написано в 01:40 ---------- Прочитал на одном форуме, что AVP Tool вроде запускается при подобном случае. Сделать лог, потом егошним скриптом разблокировать AVZ и там... Завтра, если всё получится пришлю лог AVP. Последний раз редактировалось Jay; 13.11.2010 в 01:04. |
Ads | |
13.11.2010, 02:32 | #33 (ссылка) | ||
Мастер
|
Цитата:
Цитата:
Ждем лог AVP Tool. |
||
13.11.2010, 15:32 | #37 (ссылка) |
Мастер
|
Если с Алкида.
1. Пуск-Выполнить-regedit. В левой части дерева реестра выбираем HKEY_LOCAL_MACHINE. 2. В меню Реестр выбираем команду Загрузить куст. Откроется окно, находим папку с Windows. Далее идем по пути Windows\System32\config\ находим файл software (без расширения) шелкаем и Открыть. Выйдет окошко даем любое имя. В ветке HKEY_LOCAL_MACHINE появится папка с заданным именем. Открываем ее идем по пути Microsoft\Windows NT\CurrentVersion\Winlogon справа находим ключ Userinit. |
13.11.2010, 15:42 | #38 (ссылка) |
Знаток
|
Ага, другое дело...
Значение: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\iwxvvhj.exe,C:\WINDOWS\system32\fjlosrl.exe, Kasperski Virus Removal Tool скачался. Грузить свою систему? Выгружаю куст. Насчёт route -f и перезагрузки попробую. Если выйдет сюда, будет хорошо. Последний раз редактировалось Jay; 13.11.2010 в 15:55. |
13.11.2010, 15:53 | #39 (ссылка) |
Мастер
|
Jay, из под Alkid найди и удали эти файлы:
Код:
C:\WINDOWS\system 32\iwxvvhj.exe C:\WINDOWS\system32\fjlosrl.exe Код:
C:\WINDOWS\system32\userinit.exe, |
13.11.2010, 16:49 | #40 (ссылка) |
Знаток
|
route -f помог - со своей системы на сайте. Скачал этот Kasperski Virus Removal Tool - у меня файл не разпознаётся, не знаю чем открыть, пробовал архиватором - не получается.
На рабочем столе пустая папка Kasperski Virus Removal Tool - при нажатии правой кнопкой, чтоб в свойства там зайти проводник опять сбрасывается. Jay, из под Alkid найди и удали эти файлы: Код: C:\WINDOWS\system 32\iwxvvhj.exe C:\WINDOWS\system32\fjlosrl.exe Это попробую. ---------- Добавлено в 17:49 ---------- Предыдущее сообщение было написано в 17:09 ---------- Ща опять на лайве. C:\WINDOWS\system 32\iwxvvhj.exe Такого файла нету. C:\WINDOWS\system32\fjlosrl.exe Этот удалил. Ша попробую поправить реестр. Поправил значение, ща выгружать куст и перезагружать? |
Ads | |
13.11.2010, 17:18 | #42 (ссылка) |
Знаток
|
Огого, а настроение то улучшается!
Всё сделал как ты сказал, перезагрузился, запустил больную винду, AVZ попёр... Обновил базы, сделал скрипт №3, держи лог: virusinfo_syscure.zip |
13.11.2010, 17:34 | #43 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\fjlosrl.exe'); DeleteFile('C:\WINDOWS\system 32\iwxvvhj.exe'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. |
13.11.2010, 17:47 | #44 (ссылка) |
Знаток
|
Держи:
virusinfo_syscheck.zip. AVG нету по прежнему, IExplorer виснет при запуске. И чё с этой папкой C:\Documents and Settings\Admin\Local Settings\Temp - там же полна горница... Последний раз редактировалось Jay; 13.11.2010 в 17:52. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Как получить доступ в интернет, если его заблокировал админ локальной сети. | zlobvet | Интернет и сети | 2 | 27.09.2010 10:30 |
Общий доступ к интернету через беспроводную сеть в Windows 7 | vasiliy-1234 | Интернет и сети | 7 | 27.06.2010 11:32 |
БП пытается заводиться, но не заводится | Litoy.88 | Неисправности, настройка | 12 | 28.04.2010 16:44 |
Комп пытается работать, но тормозит | chizes | Неисправности, настройка | 8 | 18.03.2010 11:19 |
Как получить доступ к файлам | MSM05 | Windows XP | 3 | 18.03.2010 07:08 |
Не могу получить доступ к диску! | shumer20 | Неисправности, настройка | 0 | 21.02.2010 17:34 |
Как сделать так чтоб два компа одновременно имели доступ к интернету? | Mr. ArveL | Интернет и сети | 5 | 03.02.2010 09:32 |
Система пытается загрузиться, выгружается и так до бесконечности | JohneyWalker | Безопасность | 2 | 21.09.2009 23:28 |
Доступ к интернету постороним компьютерам в сети! | Grouchyman | Windows Vista | 2 | 09.09.2009 16:47 |
Получить доступ к компам в локалке. | ppsbkwmcrs | Интернет и сети | 2 | 09.03.2009 01:18 |
Как создать доступ к интернету с удалённого компьютера? | Tristan | Железо | 2 | 26.06.2008 15:14 |
Возможно ли настроить такой доступ к интернету? | Romas20072007 | Интернет и сети | 5 | 12.01.2008 15:32 |