Проблема с автозагрузкой

[Aarataka]

http://exfile.ru/106984

http://exfile.ru/106987
Та же проблема с автозагрузкой

Ошибся с темой - свое сообщение скопировал в тему с автозагрузкой sisxvy32.

[01pump]

Aarataka,

Запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('S0eoadwadh');
DeleteFile('S0eoadwadh.sys');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\bf011ba9.exe');
DeleteFile('\\?\globalroot\systemroot\system32\vlzByzH.exe');
DeleteFile('C:\WINDOWS\system32\netprotdrvss');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis и пришлите hijackthis.log

[Aarataka]

http://exfile.ru/106990
http://exfile.ru/106992

Вроде svchost больше не ест 50%,ребята спасибо за оперативную помощь.

Вопрос: как закрыть эту дырку, чтоб больше этой гадости с смс не было?

[01pump]

Aarataka,

Напоследок выполните скрипт

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{F0626A63-410B-45E2-99A1-3F2475B2D695}');
DelBHO('{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}');
DeleteFile('C:\Program Files\SGPSA\SearchAssistant.dll');
DeleteFile('C:\Program Files\SGPSA\BHO.dll');
DeleteFile('c:\progra~1\pspad\pspads~1.dll');
ExecuteSysClean;
RebootWindows(true);
end.

ЗЫ Обязательно установите через Windows Update сервиспак SP3 и все последующие заплатки ( "Уведомление о проверке подлинности" ставить не обязательно ). Установите самую последнюю версию Internet Explorer 8 (даже если вы его не используете).
Установите самые свежие:
1) Adobe Reader, adobe flashplayer , adobe shockwave www.adobe.com
2) www.java.com

[Aarataka]

Мда. Вот логи. Это SMS Вконтакте. Прописаны в Hosts, но я как администратор не могу ничего сделать.
Зашел с другой учетной записи.
Логи:
http://exfile.ru/107027
http://exfile.ru/107028

Ребята,если вы еще не ушли, выручайте )

[01pump]

Aarataka,


Это тот же комп но другая учетка?

[Aarataka]

01pump, да, но без права администратора. Я скачал Ледяной меч, но без прав мне не дает запускать его. Даже "отимени".

[01pump]

Aarataka,

Загрузитесь в другую учетку с правами Администратора и выполните следующий скрипт

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyStrParamWrite('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
DeleteFile('C:\WINDOWS\system32\drivers\etc\hosts'); 
ExecuteSysClean;
ExecuteRepair(13); 
RebootWindows(true);
end.

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis и пришлите hijackthis.log

[Aarataka]

Проблема в том, что с учетной записи с правами администратора я не могу выполнить этот скрипт - "СМСка" блокирует каждое второе нажатие, и что самое странное - она присутствует и в Safe mode, и сразу перезагружает комп, как только я двигаю мышью.
Создать новую учетную запись с правами администратора Под СМСкой у меня не выходит.
Суровая штука.

[01pump]

Aarataka,

Под ограниченной учеткой в реестр попасть можете? Если да то вперед!

В этом ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon у параметра Shell отредактируйте значение чтоб оно было только Explorer.exe

Затем перезагрузитесь и сделайте комплект логов из инструкции

[Aarataka]

Ага, но править параметры не дает. Там действительно еще одна прога прописана. Есть возможность редактирвоать реестр не только через regedit?

[winshelp]

Aarataka, под ограниченой учеткой, вы, в системе ничего не сможете сделать!!!

[Aarataka]

Ребята, ка вариант, если я снесу к черту операфионку, форматну системный раздел, и поставлю заново, есть шанс, что я успею поставить заплатки от этой дряни? до последующей перезагрузки? )))

Насчет ограниченного доступа - к сожалению,да. Почитал в сети - даже смена политики мне не помогла. Буду думать.

[01pump]

Aarataka,
Единственный вариант без переустановки это загрузиться с таких http://pchelpforum.ru/showpost.php?p=69244&postcount=2 LiveCD и удалить C:\Program Files\Common Files\Qip\qip.exe

[Aarataka]

Угу,спасибо,ребята, я об этом и подумал. Думаю,лучше почистить реестр, как Вы тут выше написали - будет надежнее наверно. Будем пробовать )

---------- Добавлено в 22:56 ---------- Предыдущее сообщение было написано в 21:50 ----------

Вот новые логи:
http://exfile.ru/107110
http://exfile.ru/107111

Надеюсь, кто-нибудь еще не спит )