|
|
|
|
#31 |
|
Знаток
|
Ща качаю... Если правильно смонтирую, попробую.
Курейтом проверял больше половины и вылетел. Ничего ни нашёл... ---------- Добавлено в 01:52 ---------- Предыдущее сообщение было написано в 01:45 ---------- 75% скачал, проверять буду уж утром или днём. Ща запишу на диск, если получится... |
|
|
|
|
#32 |
|
Знаток
|
Во, бадяга! Эта зараза не даёт выйти даже на этот сайт и подобные. Нашёл в поисковике ссыль на сайт киберфорума (или типа того), что у какого-то чела вирь не даёт зайти на антивирусные сайты и им подобные, в частности на pchelpforum. Нажал на ссыль - вылетел из интернета, ещё раз - то же самое. Хотя сюда не входил уже два дня, якобы проблемы с соединением.
Додумался попробовать выйти с Алкида в интернет, настроил как-то - и вот я здесь. Кому не лень читать, опишу что было до этого, так как трабла серьёзная... Короче как я втемяшил при запуске AVZ, ComboFix и других експлорер перезапускает процесс Winlogon (который просился в интернет и попал). По крайней мере в уведомлениях системы вся эта куча перезапусков эксплорера связана именно с этим процессом. Наверно вирус (троян) его использует. Пробовал выгрузить - не получается, пишет что это критический системный процесс. Я не спорю, хотя не уверен, но ведь раньше, по-моему, я его выгружал да и в процессах его не было. Просканировал с Dr WEB Live CD. Нашёл 2 штуки: этот chkntfs в автозагрузке и ещё чё-то с командной строкой что-ли связанное (не помню). Удалил. Загрузил систему - всё по прежнему: не запускаются ни AVZ, ни ComboFix. На сайт PCHelpForum не заходит пока. На диске С появилась папка 32788R22FWJFW с папкой License и пакетными файлами MS-DOS и файл REMOVE_THIS_FILE.livecd.swap. Кстати как насчёт найденного МВАМ C:\WINDOWS\system32\mndosnet.dll (Trojan.Vundo) -> No action taken. Мож попробовать удалить? Нашёл диск зверя с алкидом. На алкиде пытался запустить чё-то от касперского (AVP 8 что ли) - выдал ошибку. Доктор веб уже надоел, Ransom Hide и простым касперам не пробовал. Запустил AVZ с этого алкида. Копирую проблемы лога AVZ с диска Alkid Live: 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Детектирована модификация IAT: LoadLibraryA - 6602BCB3<>7C801D77 Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2 >>> X:\autorun.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности) 9. Мастер поиска и устранения проблем >> Нарушение ассоциации EXE файлов >> Нарушение ассоциации COM файлов >> Нарушение ассоциации REG файлов >> Модифицированы префиксы протоколов >> Заблокирована возможность завершения сеанса >> Заблокирована закладка Заставка в окне свойств экрана >> Заблокирован доступ к настройкам принтеров >> Меню Пуск - заблокированы элементы >> Заблокирован пункт меню Справка и техподдержка >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей >> Заблокирована возможность смены темы рабочего стола В общем, зараза очень умная... Так что, уважаемые спецы, давайте вместе эту заразу уберём! Имею два лайва: Alkid (с котрого юзаю) и Hiren Boot СD (этот послабее - в интернет выйти недопёр как снего, если можно). Что ещё можно сделать? ---------- Добавлено в 02:38 ---------- Предыдущее сообщение было написано в 01:40 ---------- Прочитал на одном форуме, что AVP Tool вроде запускается при подобном случае. Сделать лог, потом егошним скриптом разблокировать AVZ и там... Завтра, если всё получится пришлю лог AVP. Последний раз редактировалось Jay; 13.11.2010 в 01:04. |
|
|
| Ads | |
|
|
#33 | ||
|
Мастер
|
Цитата:
Цитата:
Ждем лог AVP Tool. |
||
|
|
|
|
#34 |
|
Знаток
|
|
|
|
|
|
#35 | |
|
Мастер
|
Jay, открой Редактор реестра и здесь:
Цитата:
|
|
|
|
|
|
#37 |
|
Мастер
|
Если с Алкида.
1. Пуск-Выполнить-regedit. В левой части дерева реестра выбираем HKEY_LOCAL_MACHINE. 2. В меню Реестр выбираем команду Загрузить куст. Откроется окно, находим папку с Windows. Далее идем по пути Windows\System32\config\ находим файл software (без расширения) шелкаем и Открыть. Выйдет окошко даем любое имя. В ветке HKEY_LOCAL_MACHINE появится папка с заданным именем. Открываем ее идем по пути Microsoft\Windows NT\CurrentVersion\Winlogon справа находим ключ Userinit. |
|
|
|
|
#38 |
|
Знаток
|
Ага, другое дело...
Значение: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\iwxvvhj.exe,C:\WINDOWS\system32\fjlosrl.exe, Kasperski Virus Removal Tool скачался. Грузить свою систему? Выгружаю куст. Насчёт route -f и перезагрузки попробую. Если выйдет сюда, будет хорошо. Последний раз редактировалось Jay; 13.11.2010 в 15:55. |
|
|
|
|
#39 |
|
Мастер
|
Jay, из под Alkid найди и удали эти файлы:
Код:
C:\WINDOWS\system 32\iwxvvhj.exe C:\WINDOWS\system32\fjlosrl.exe Код:
C:\WINDOWS\system32\userinit.exe, |
|
|
|
|
#40 |
|
Знаток
|
route -f помог - со своей системы на сайте. Скачал этот Kasperski Virus Removal Tool - у меня файл не разпознаётся, не знаю чем открыть, пробовал архиватором - не получается.
На рабочем столе пустая папка Kasperski Virus Removal Tool - при нажатии правой кнопкой, чтоб в свойства там зайти проводник опять сбрасывается. Jay, из под Alkid найди и удали эти файлы: Код: C:\WINDOWS\system 32\iwxvvhj.exe C:\WINDOWS\system32\fjlosrl.exe Это попробую. ---------- Добавлено в 17:49 ---------- Предыдущее сообщение было написано в 17:09 ---------- Ща опять на лайве. C:\WINDOWS\system 32\iwxvvhj.exe Такого файла нету. C:\WINDOWS\system32\fjlosrl.exe Этот удалил. Ша попробую поправить реестр. Поправил значение, ща выгружать куст и перезагружать? |
|
|
| Ads | |
|
|
#42 |
|
Знаток
|
Огого, а настроение то улучшается!
Всё сделал как ты сказал, перезагрузился, запустил больную винду, AVZ попёр... Обновил базы, сделал скрипт №3, держи лог: virusinfo_syscure.zip |
|
|
|
|
#43 |
|
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fjlosrl.exe');
DeleteFile('C:\WINDOWS\system 32\iwxvvhj.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
|
#44 |
|
Знаток
|
Держи:
virusinfo_syscheck.zip. AVG нету по прежнему, IExplorer виснет при запуске. И чё с этой папкой C:\Documents and Settings\Admin\Local Settings\Temp - там же полна горница... Последний раз редактировалось Jay; 13.11.2010 в 17:52. |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Как получить доступ в интернет, если его заблокировал админ локальной сети. | zlobvet | Интернет и сети | 2 | 27.09.2010 10:30 |
| Общий доступ к интернету через беспроводную сеть в Windows 7 | vasiliy-1234 | Интернет и сети | 7 | 27.06.2010 11:32 |
| БП пытается заводиться, но не заводится | Litoy.88 | Неисправности, настройка | 12 | 28.04.2010 16:44 |
| Комп пытается работать, но тормозит | chizes | Неисправности, настройка | 8 | 18.03.2010 11:19 |
| Как получить доступ к файлам | MSM05 | Windows XP | 3 | 18.03.2010 07:08 |
| Не могу получить доступ к диску! | shumer20 | Неисправности, настройка | 0 | 21.02.2010 17:34 |
| Как сделать так чтоб два компа одновременно имели доступ к интернету? | Mr. ArveL | Интернет и сети | 5 | 03.02.2010 09:32 |
| Система пытается загрузиться, выгружается и так до бесконечности | JohneyWalker | Безопасность | 2 | 21.09.2009 23:28 |
| Доступ к интернету постороним компьютерам в сети! | Grouchyman | Windows Vista | 2 | 09.09.2009 16:47 |
| Получить доступ к компам в локалке. | ppsbkwmcrs | Интернет и сети | 2 | 09.03.2009 01:18 |
| Как создать доступ к интернету с удалённого компьютера? | Tristan | Железо | 2 | 26.06.2008 15:14 |
| Возможно ли настроить такой доступ к интернету? | Romas20072007 | Интернет и сети | 5 | 12.01.2008 15:32 |