|
|
|
|
#1 |
|
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
Я подхватил вирус, который блокирует работу рабочего стола (он вообще не загружается). Называется System Security Antivirus и там написанно, что в связи с тем что я персмотрел порно с элементами насилия и прочими вредными программами, которыми кишит мой комп, все заблокированно
. Постебался кто-то хоршо, я бы посмеялся, если бы не полная _опа!Безопасный режим не работает , все кнопки тоже. Я перезагружаю комп и устанавлваю винду на другой диск, все ок, установилось. Сканирую Cureit'ом, avz'ом и касперским Virus Removal Tool Setup. Все что-то находят лечат, удаляют - эффект: рабочий стол заблокирован и даже код разблокировки получить нельзя, потому как не работают кнопки уже на самом баннере.Я понимаю, что по нормальному надо форматнуть и переустановить винду, но все таки вдруг можно что-то сделать, тем более я не знаю что потом делать со второй виндой.Я полный чайник. Так вот логи я присоединил, правда не уверен что они то что надо потому как делал их из второй винды. Подскажите что да как ... может можно откатить систему? Точки восстановления у меня включенны но как это можно сделать с другой винды? |
|
|
|
|
#2 |
|
Мастер
|
Borislav, че то логов не вижу.
Из под здоровой системы проделайте следующее. Запускаем Редактор реестра (Пуск-Выполнит-regedit), шелкаем по ветке HKEY_LOCAL_MACHINE. Далее Файл-Загрузить куст (в редакторе реестра) выйдет окошко, там идем в папку "больной" систему находим папку WINDOWS (больная)\System32\config там находим файл software (без расширения) и нажимаем Открыть. Откроется окошко, там задаем любое имя и нажимаем ОК. В ветке HKEY_LOCAL_MACHINE появится папка с заданным именем. Открываем ее идем по пути Microsoft\Windows NT\CurrentVersion\Windows справа находим параметр AppInit_DLLs шелкните по ней два раза. Покажите содержимое параметра. Здесь Microsoft\Windows NT\CurrentVersion\Winlogon значение ключа Shell (справа) должно быть таким Explorer.exe, если значение отличается - исправить на правильное. Смотрим также значение ключа Userinit. Правильное значение Код:
C:\WINDOWS\system32\userinit.exe, Теперь снова шелкаем по созданной нами папке и проделываем следующее Файл-Выгрузить куст. |
|
|
|
|
#3 |
|
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
Спасибо. Все загрузилось. Единственное я вообще не понимаю, как ты можешь во всех этих файлах ориентироваться, я так даже по написанному еле-еле понял, что делать. У меня еще вопрос, ты не знаешь как можно удалить вторую винду без форматирования ... но это так, конечно, не очень важно. Еще раз спасибо. Скажи я чем-то могу отблагодарить? Единственное я в компах почти не жу-жу, cам по профессии психолог, работаю в Samsung'е, так что вдруг что-то понадобиться пиши на ivlev.samsung@gmail.com
Еще раз громадное спасибо, я пошел авастом проверяться ... ---------- Добавлено в 20:05 ---------- Предыдущее сообщение было написано в 20:04 ---------- Да логи я и правда забыл присоединить ... |
|
|
|
|
#4 |
|
Мастер
|
Так же как и ты в человеческих мозгах.
опыт, ну и определенный алгоритм действий при типовых заражениях.Вашего спасибо хватить. Ну и неплохо бы увидить логи из под "оживщей" системы.
|
|
|
|
|
#5 | |
|
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
Цитата:
А логи вот: первый до поднятия системы из могилы, второй после ... ) http://zalil.ru/29800657 http://zalil.ru/29800671 Текстом не поучается, ограничение на кол-во знаков (я думаю ты знаешь ), а для сканов слишом большой файл.
|
|
|
|
|
|
#6 | |
|
Мастер
|
Цитата:
|
|
|
|
|
|
#7 |
|
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
Эти логи я сделал программой названия которой не помню, помоему hijack. Она сохраняет в тектовом файле, вот их оба, до и после, я и прикрепил выше. Но сейчас сделал и avz'ом ...
http://exfile.ru/130924 Еще раз спасибо! ... кстати у меня почему-то отрубился диспетчер задач и еще кое-что по мелочи глючит, это важно? |
|
|
|
|
#8 |
|
Мастер
|
Borislav, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('M:\Ljrnjh\drwsxtn.dll','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\EagleNT.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sglmsrv.exe');
DeleteFile('C:\Program Files\plugin.exe');
DeleteFile('C:\WINDOWS\system32\rescuewin.exe');
DeleteFile('\\?\globalroot\systemroot\system32\iVhg4Zl.exe');
DeleteFile('M:\Ljrnjh\drwsxtn.dll');
DelCLSID('{e7593602-124b-47c9-9f73-a69308edc973}');
DeleteService('EagleNT');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{e7593602-124b-47c9-9f73-a69308edc973}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(20);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
|
|
|
| Ads | |
|
|
#9 |
|
Стажёр
|
Блин, не успел..
Borislav, обязательно Отключите восстановление системы перед выполнением предложенного выше скрипта У вас Worm.Win32.AutoRun Iljeben, папку C:\Documents and Settings\All Users\Application Data\srtserv лучше бы зачистить. Последний раз редактировалось Гарад; 12.10.2010 в 14:44. Причина: Не успел... |
|
|
|
|
#11 |
|
Мастер
|
Borislav, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
DeleteFile('\\?\globalroot\systemroot\system32\iVhg4Zl.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
|
#12 |
|
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
|
|
|
|
|
#14 |
|
Новичок
Регистрация: 11.10.2010
Сообщений: 13
Репутация: 0
|
Перезалить? ... )))
http://exfile.ru/131467 |
|
|
|
|
#15 |
|
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Borislav, Сидит у вас одна гадость крепко...
Вот этот лог сделайте http://pchelpforum.ru/showpost.php?p=312969&postcount=9 |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Вирус под названием System Security Antivirus блокирует рабочий стол | aleksandr pisarev | Windows 7 | 14 | 26.12.2010 21:14 |
| Рабочий стол | Vampir_138 | Windows XP | 24 | 15.12.2010 18:21 |
| РАБОЧИЙ СТОЛ | sergei-garant | Windows XP | 37 | 31.10.2010 21:46 |
| Рабочий стол | Вячеславв | Windows 7 | 1 | 26.07.2010 12:09 |
| Баннер блокирует рабочий стол | Sicrus | Безопасность | 6 | 27.06.2010 21:32 |
| Подцепил порно баннер на рабочий стол | ALTchel | Безопасность | 4 | 21.03.2010 23:43 |
| Баннер на рабочий стол | ak-cologne | Windows 7 | 0 | 24.01.2010 03:30 |
| Рабочий Стол | igoryanich | Windows Vista | 4 | 31.10.2009 20:00 |
| ESET Smart Security/NOD32 Antivirus CRACK | tavrogen | Безопасность | 9 | 17.09.2009 22:20 |
| Рабочий стол. | Пельмешка | Windows XP | 3 | 15.09.2009 12:47 |
| Рабочий стол | GIGO | Безопасность | 16 | 06.08.2009 07:32 |
| Вирус System Security 2009 | Vike | Безопасность | 9 | 25.07.2009 03:22 |