При загрузке системы вылазит папка "Администратор"

Wasp · 02.03.2012, 18:20

После удаления трояна, при загрузке системы стала вылазить папка "Администратор".

Что сделано:
Прошелся двумя вирусами - ничего не обнаружили!
Автозагрузка не причем - пробывал все отключать!
В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Userinit в норме - "C:\WINDOWS\system32\userinit.exe," - без кавычек, с запятой.

http://rghost.ru/36807906 - virusinfo_syscure.zip
http://rghost.ru/36807932 - AC6_2012-03-02_18-57-56.rar
http://rghost.ru/36807950 - rsit.rar

Lexer · 02.03.2012, 18:23

Wasp, ссылки на логи где?

Wasp · 02.03.2012, 18:24

сделал!

Lexer · 02.03.2012, 18:26

Wasp, для начала проверьте вот этот параметр...

Код:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000

так же

1. Пуск - Выполнить - regedit - перейдите в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run - если в нем есть какой-либо параметр со значением, указывающим на explorer.exe или C:\WINDOWS\Explorer.exe - удалите его

2. Пуск - Выполнить - msconfig - Автозагрузка. Если у вас есть здесь параметр BluetoothAuthenticationAgent со значением rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent, попробуйте его отключить

Angel-iz-Ada · 02.03.2012, 18:32

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код:

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://SEARCH.QIP.RU
delref HTTP://SUPERRU.NET/?UTM_MEDIUM=CH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-09
delref HTTP://SUPERRU.NET/?UTM_MEDIUM=OH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-09
deltmp
delnfr
regt 1
regt 2
regt 3
regt 12
regt 13
restart

И жмем Выполнить. На все запросы жмем Да и Далее (если будут). После выполнения скрипта - ПК перезагрузится.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Wasp · 02.03.2012, 18:57

Цитата:

Сообщение от Lexer

для начала проверьте вот этот параметр...

Код:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000

Параметр верен!

Цитата:

Сообщение от Lexer

1. Пуск - Выполнить - regedit - перейдите в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run - если в нем есть какой-либо параметр со значением, указывающим на explorer.exe или C:\WINDOWS\Explorer.exe - удалите его

2. Пуск - Выполнить - msconfig - Автозагрузка. Если у вас есть здесь параметр BluetoothAuthenticationAgent со значением rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent, попробуйте его отключить

В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run значения explorer.exe нет!
Параметра BluetoothAuthenticationAgent в автозагрузке нет!

---------- Добавлено в 19:57 ---------- Предыдущее сообщение было написано в 19:38 ----------

Цитата:

Сообщение от Angel-iz-Ada

После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден.

Angel-iz-Ada · 02.03.2012, 19:07

распакуй этот архив в Windows\System32 и пробуй заново
скрипт выполнили?

Wasp · 02.03.2012, 19:23

Скрипт выполнил!
mbam-log-2012-03-02 (20-22-10) - http://rghost.ru/36809155

Angel-iz-Ada · 02.03.2012, 19:25

удаляем все найденное, перезагружаемся, делаем повторный лог и заодно проверяем что с проблемой

Wasp · 02.03.2012, 19:49

Проблема осталась!
mbam-log-2012-03-02 (20-39-33) - http://rghost.ru/36809673

Angel-iz-Ada · 02.03.2012, 20:41

сделайте лог этой программой - http://www.trendmicro.com/ftp/produc...HijackThis.exe

Wasp · 02.03.2012, 20:58

hijackthis.log - http://rghost.ru/36811035

Wasp · 03.03.2012, 01:52

Спасибо за отзывы! Проблему решил самостоятельно. В разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run удалил параметр "MSConfig" со значением "C:\Documents and Settings\Администратор\Рабочий стол\Неиспользуемые ярлыки\msconfig.exe /auto". Путь значения указывает на ярлык к MSConfig, расположенный на рабочем столе.

Angel-iz-Ada · 03.03.2012, 01:57

Чет забыл про эту тему

Да, надо было пофиксить именно этот Msconfig:

Цитата:

O4 - HKLM\..\Run: [MSConfig] C:\Documents and Settings\Администратор 2\Рабочий стол\Неиспользуемые ярлыки\msconfig.exe /auto

Если проблема решена, то:
При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

02.03.2012, 18:20	#1 (ссылка)
Wasp Новичок Регистрация: 02.03.2012 Сообщений: 12 Репутация: 0	При загрузке системы вылазит папка "Администратор" После удаления трояна, при загрузке системы стала вылазить папка "Администратор". Что сделано: Прошелся двумя вирусами - ничего не обнаружили! Автозагрузка не причем - пробывал все отключать! В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Userinit в норме - "C:\WINDOWS\system32\userinit.exe," - без кавычек, с запятой. http://rghost.ru/36807906 - virusinfo_syscure.zip http://rghost.ru/36807932 - AC6_2012-03-02_18-57-56.rar http://rghost.ru/36807950 - rsit.rar

02.03.2012, 18:26	#4 (ссылка)
Lexer Мастер Регистрация: 24.10.2010 Сообщений: 4,156 Репутация: 513	Wasp, для начала проверьте вот этот параметр... Код: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "PersistBrowsers"=dword:00000000 так же 1. Пуск - Выполнить - regedit - перейдите в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run - если в нем есть какой-либо параметр со значением, указывающим на explorer.exe или C:\WINDOWS\Explorer.exe - удалите его 2. Пуск - Выполнить - msconfig - Автозагрузка. Если у вас есть здесь параметр BluetoothAuthenticationAgent со значением rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent, попробуйте его отключить

02.03.2012, 18:32	#5 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена Вставляем текст скрипта: Перед выполнением скрипта, закрыть браузеры! Код: ;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://SEARCH.QIP.RU delref HTTP://SUPERRU.NET/?UTM_MEDIUM=CH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-09 delref HTTP://SUPERRU.NET/?UTM_MEDIUM=OH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-09 deltmp delnfr regt 1 regt 2 regt 3 regt 12 regt 13 restart И жмем Выполнить. На все запросы жмем Да и Далее (если будут). После выполнения скрипта - ПК перезагрузится. После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
При загрузке системы вылазит папка "Администратор"	Wasp	Windows XP	9	03.03.2012 01:53
Из папки "Избранное" пропала папка "Загрузки"	Fedyok	Windows 7	7	05.03.2011 20:18
При загрузке автоматом открывается папка "Мои Документы" Много чего перепробовал! =(	LivFriendly	Безопасность	0	18.08.2010 02:51
При старте Windows вылазит ошибка "Ошибка при загрузке dchn.sco"	djakonda	Безопасность	2	13.01.2010 20:46
При загрузке системы требует нажать "del"	Dist	Неисправности, настройка	32	03.12.2009 17:10

02.03.2012, 18:23	#2 (ссылка)
Lexer Мастер Регистрация: 24.10.2010 Сообщений: 4,156 Репутация: 513	Wasp, ссылки на логи где?

02.03.2012, 18:24	#3 (ссылка)
Wasp Новичок Регистрация: 02.03.2012 Сообщений: 12 Репутация: 0	сделал!

02.03.2012, 19:07	#7 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	распакуй этот архив в Windows\System32 и пробуй заново скрипт выполнили?

02.03.2012, 19:23	#8 (ссылка)
Wasp Новичок Регистрация: 02.03.2012 Сообщений: 12 Репутация: 0	Скрипт выполнил! mbam-log-2012-03-02 (20-22-10) - http://rghost.ru/36809155

02.03.2012, 19:25	#9 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	удаляем все найденное, перезагружаемся, делаем повторный лог и заодно проверяем что с проблемой

02.03.2012, 19:49	#10 (ссылка)
Wasp Новичок Регистрация: 02.03.2012 Сообщений: 12 Репутация: 0	Проблема осталась! mbam-log-2012-03-02 (20-39-33) - http://rghost.ru/36809673

02.03.2012, 20:41	#11 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	сделайте лог этой программой - http://www.trendmicro.com/ftp/produc...HijackThis.exe

02.03.2012, 20:58	#12 (ссылка)
Wasp Новичок Регистрация: 02.03.2012 Сообщений: 12 Репутация: 0	hijackthis.log - http://rghost.ru/36811035

03.03.2012, 01:52	#13 (ссылка)
Wasp Новичок Регистрация: 02.03.2012 Сообщений: 12 Репутация: 0	Спасибо за отзывы! Проблему решил самостоятельно. В разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run удалил параметр "MSConfig" со значением "C:\Documents and Settings\Администратор\Рабочий стол\Неиспользуемые ярлыки\msconfig.exe /auto". Путь значения указывает на ярлык к MSConfig, расположенный на рабочем столе.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads