13.01.2011, 01:14 | #1 (ссылка) |
Новичок
Регистрация: 24.03.2010
Сообщений: 44
Репутация: 0
|
Сообщение Windows Заблокирован, не выйти на антивирусники
Вот и я попалась на это сообщение...
Сообщение о блокировке, с кодом, который надо ввести в течение 12 часов. В безопасный режим не выходит. Попыталась пройти по ссылке с вашего форума с другого компа, правда тот же провод от нета, почему-то открываются все сайты, кроме антивирусных. Что-нибудь можете подсказать? |
13.01.2011, 01:17 | #2 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Leeloosea, какой комп лечим?
Если который с баннером,то 1. Скачайте образ, например: ERD Commander, запишите на болванку и загрузитесь с созданного диска 2. Пуск - Выполнить - erdregedit 3. Посмотрите в реестре: Ветка Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Код:
AppInit_DLLs Ветка Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Правильное значения для Userinit это Код:
C:\WINDOWS\system32\userinit.exe, |
13.01.2011, 01:29 | #4 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Leeloosea, вначале попробуйте вот это.Если не поможет может подойти Dr.Web® LiveUSB
|
13.01.2011, 02:12 | #5 (ссылка) |
Новичок
Регистрация: 24.03.2010
Сообщений: 44
Репутация: 0
|
В-общем, надо лечить этот комп, сейчас пришлю логи, т. к. ссылки не открываются)))
---------- Добавлено в 01:12 ---------- Предыдущее сообщение было написано в 00:30 ---------- Урааа)) avz решил мою проблему-сайты открываются, прошла по форумной ссылке по этой теме, нашла своего троянца, ввела код-и комп заработал))))) но на всякий случай посылаю логи: хайджек: http://exfile.ru/149859 avz: http://exfile.ru/149861 |
13.01.2011, 03:08 | #6 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log'); BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log'); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); DeleteFile('C:\WINDOWS\system32\01.tmp'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); DeleteService('taumofnl'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportALL; BC_ServiceKill('cwlrcmgx'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
13.01.2011, 13:33 | #7 (ссылка) |
Новичок
Регистрация: 24.03.2010
Сообщений: 44
Репутация: 0
|
при выполнении выдаёт Ошибка скрипта: 'BEGIN' expected, позиция [1:2]
---------- Добавлено в 12:18 ---------- Предыдущее сообщение было написано в 12:10 ---------- разобралась, всё-таки иногда-я бландинка))) ---------- Добавлено в 12:33 ---------- Предыдущее сообщение было написано в 12:18 ---------- http://exfile.ru/149958 |
13.01.2011, 14:18 | #8 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Leeloosea, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin ExecuteRepair(8); RebootWindows(true); end. Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту. Только обязательно обновите базы!! + Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. |
Ads | |
13.01.2011, 19:18 | #9 (ссылка) |
Новичок
Регистрация: 24.03.2010
Сообщений: 44
Репутация: 0
|
вот результат:
avz http://exfile.ru/150046 log и info http://exfile.ru/150047 http://exfile.ru/150048 |
13.01.2011, 20:16 | #11 (ссылка) |
Новичок
Регистрация: 24.03.2010
Сообщений: 44
Репутация: 0
|
С этим ноутом- уже ничего, спасибо за оперативность, посмотрите логи с компа, на котором был троян с баннером о блокировке:
avz http://exfile.ru/150063 хайджек http://exfile.ru/150064 |
13.01.2011, 20:20 | #12 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\Марина\Local Settings\Temp\77DDAB7E-3899D2AF-476F6265-912B2C1C\207e5_xp.exe'); TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\Марина\Local Settings\Temp\B476A1B3-E7AD2BE-5095931E-29BA9791\97aa2_xp.exe'); DeleteFile('\Device\HarddiskVolume1\Documents and Settings\Марина\Local Settings\Temp\77DDAB7E-3899D2AF-476F6265-912B2C1C\207e5_xp.exe'); DeleteFile('\Device\HarddiskVolume1\Documents and Settings\Марина\Local Settings\Temp\B476A1B3-E7AD2BE-5095931E-29BA9791\97aa2_xp.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. |
13.01.2011, 21:27 | #14 (ссылка) | |
Мастер
|
Leeloosea, ничего подозрительного, для полной уверенности, пришлите такой лог:
Цитата:
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|