Компьютерный форум

Компьютерный форум (http://pchelpforum.ru/index.php)
-   Безопасность (http://pchelpforum.ru/forumdisplay.php?f=26)
-   -   Баннер под названием System Security Antivirus заблокировал рабочий стол (http://pchelpforum.ru/showthread.php?t=38176)

Borislav 11.10.2010 20:23

Баннер под названием System Security Antivirus заблокировал рабочий стол
 
Я подхватил вирус, который блокирует работу рабочего стола (он вообще не загружается). Называется System Security Antivirus и там написанно, что в связи с тем что я персмотрел порно с элементами насилия и прочими вредными программами, которыми кишит мой комп, все заблокированно http://radikal.ru/F/s61.radikal.ru/i...ff7220b72t.jpg. Постебался кто-то хоршо, я бы посмеялся, если бы не полная _опа!
Безопасный режим не работает http://radikal.ru/F/s39.radikal.ru/i...441e9f0c5t.jpg, все кнопки тоже. Я перезагружаю комп и устанавлваю винду на другой диск, все ок, установилось. Сканирую Cureit'ом, avz'ом и касперским Virus Removal Tool Setup. Все что-то находят лечат, удаляют - эффект: рабочий стол заблокирован и даже код разблокировки получить нельзя, потому как не работают кнопки уже на самом баннере.
Я понимаю, что по нормальному надо форматнуть и переустановить винду, но все таки вдруг можно что-то сделать, тем более я не знаю что потом делать со второй виндой.Я полный чайник.
Так вот логи я присоединил, правда не уверен что они то что надо потому как делал их из второй винды.
Подскажите что да как ... может можно откатить систему? Точки восстановления у меня включенны
но как это можно сделать с другой винды?

Iljeben 11.10.2010 20:33

Цитата:

Сообщение от Borislav (Сообщение 312125)
Так вот логи я присоединил,

Borislav, че то логов не вижу.

Из под здоровой системы проделайте следующее. Запускаем Редактор реестра (Пуск-Выполнит-regedit), шелкаем по ветке HKEY_LOCAL_MACHINE. Далее Файл-Загрузить куст (в редакторе реестра) выйдет окошко, там идем в папку "больной" систему находим папку WINDOWS (больная)\System32\config там находим файл software (без расширения) и нажимаем Открыть. Откроется окошко, там задаем любое имя и нажимаем ОК. В ветке HKEY_LOCAL_MACHINE появится папка с заданным именем. Открываем ее идем по пути Microsoft\Windows NT\CurrentVersion\Windows справа находим параметр AppInit_DLLs шелкните по ней два раза. Покажите содержимое параметра.
Здесь Microsoft\Windows NT\CurrentVersion\Winlogon значение ключа Shell (справа) должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
Смотрим также значение ключа Userinit. Правильное значение
Код:

C:\WINDOWS\system32\userinit.exe,
если значение отличается - исправить на правильное.
Теперь снова шелкаем по созданной нами папке и проделываем следующее Файл-Выгрузить куст.

Borislav 11.10.2010 21:05

Спасибо!
 
Спасибо. Все загрузилось. Единственное я вообще не понимаю, как ты можешь во всех этих файлах ориентироваться, я так даже по написанному еле-еле понял, что делать. У меня еще вопрос, ты не знаешь как можно удалить вторую винду без форматирования ... но это так, конечно, не очень важно. Еще раз спасибо. Скажи я чем-то могу отблагодарить? Единственное я в компах почти не жу-жу, cам по профессии психолог, работаю в Samsung'е, так что вдруг что-то понадобиться пиши на ivlev.samsung@gmail.com
Еще раз громадное спасибо, я пошел авастом проверяться ...

---------- Добавлено в 20:05 ---------- Предыдущее сообщение было написано в 20:04 ----------

Да логи я и правда забыл присоединить ...

Iljeben 11.10.2010 21:26

Цитата:

Сообщение от Borislav (Сообщение 312166)
как ты можешь во всех этих файлах ориентироваться

Так же как и ты в человеческих мозгах. :) опыт, ну и определенный алгоритм действий при типовых заражениях.

Цитата:

Сообщение от Borislav (Сообщение 312166)
Скажи я чем-то могу отблагодарить?

Вашего спасибо хватить. :) Ну и неплохо бы увидить логи из под "оживщей" системы.

Borislav 11.10.2010 23:24

Цитата:

Сообщение от Iljeben (Сообщение 312184)
Так же как и ты в человеческих мозгах. опыт, ну и определенный алгоритм действий при типовых заражениях.

В точку! Слова " определенный алгоритм действий при типовых заражениях" для меня верны в 8 случаях из 10. Люди даже не представляют насколько типичны для большинства их действия и проблемы. ))) При толике интуиции и конечно знаниях задаешь "определенный алгоритм" и все, проблема решена. А интуиция нужна для того чтобы задать правильный алгоритм, иначе всей "системе" может придти маленький пушной зверек. ))) В реалии редко конечно, только если случай действительно серьезный.
А логи вот: первый до поднятия системы из могилы, второй после ... )

http://zalil.ru/29800657

http://zalil.ru/29800671

Текстом не поучается, ограничение на кол-во знаков (я думаю ты знаешь:) ), а для сканов слишом большой файл.

Iljeben 12.10.2010 00:08

Цитата:

Сообщение от Borislav (Сообщение 312250)
Текстом не поучается, ограничение на кол-во знаков (я думаю ты знаешь ), а для сканов слишом большой файл.

Судя по сообщению Вы не то пытаетесь прислать. После выполнения Стандартного скрипта 3 в папке с AVZ, должна появиться подпапочка LOG там находим и присылаем архив virusinfo_syscure .zip . И файлик на http://exfile.ru/ выложите.

Borislav 12.10.2010 14:11

Логи
 
Эти логи я сделал программой названия которой не помню, помоему hijack. Она сохраняет в тектовом файле, вот их оба, до и после, я и прикрепил выше. Но сейчас сделал и avz'ом ...
http://exfile.ru/130924
Еще раз спасибо! ... кстати у меня почему-то отрубился диспетчер задач и еще кое-что по мелочи глючит, это важно?

Iljeben 12.10.2010 14:36

Borislav, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('M:\Ljrnjh\drwsxtn.dll','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\EagleNT.sys');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sglmsrv.exe');
 DeleteFile('C:\Program Files\plugin.exe');
 DeleteFile('C:\WINDOWS\system32\rescuewin.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\iVhg4Zl.exe');
 DeleteFile('M:\Ljrnjh\drwsxtn.dll');
 DelCLSID('{e7593602-124b-47c9-9f73-a69308edc973}');
 DeleteService('EagleNT');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{e7593602-124b-47c9-9f73-a69308edc973}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(20);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Гарад 12.10.2010 14:41

Блин, не успел..

Borislav, обязательно Отключите восстановление системы перед выполнением предложенного выше скрипта

У вас Worm.Win32.AutoRun

Iljeben, папку C:\Documents and Settings\All Users\Application Data\srtserv лучше бы зачистить.

Borislav 13.10.2010 02:20

Iljeben, извини за задержку, только что добрался до компа. Еще раз благодарю от всего сердца. Вот логи ...
http://exfile.ru/131070

Гарад, спасибо за совет! )

Iljeben 13.10.2010 06:32

Borislav, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
 DeleteFile('\\?\globalroot\systemroot\system32\iVhg4Zl.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Borislav 14.10.2010 17:26

Выполнил скрипт, вот логи ...
http://exfile.ru/131445
Спасибо! )

Гризлик 14.10.2010 18:48

Borislav, Базы в AVZ обновите и пережедайте лог.

Borislav 14.10.2010 18:54

Перезалить? ... )))
http://exfile.ru/131467

Гризлик 14.10.2010 19:09

Borislav, Сидит у вас одна гадость крепко...
Вот этот лог сделайте http://pchelpforum.ru/showpost.php?p=312969&postcount=9


Текущее время: 13:24. Часовой пояс GMT +4.

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2007-2016, PCHelpForum.ru.