MotherBoard Опубликовано 12 октября, 2010 Поделиться Опубликовано 12 октября, 2010 (изменено) Правильно, что проводник не работает!(патчен реестр) Профиксьте в Хиджак! F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe, 10.0.0.5, 10.0.0.6 - это ваши IP? если фикс не спасёт, возьмите на здоровом ПК скачайте ЛивСД ERDCommandor или другой лечащий диск с возможностью правки реестра. Загрузитесь на больном ПК с лечебного диска пуск\Выполнить\erdregedit Гляньте ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Значение ключа Shell должно быть таким Explorer.exe(параметр должен быть без запятой!), если значение отличается - исправить на правильное. Правильное значения для Userinit это C:\WINDOWS\system32\userinit.exe,(в конце параметра запятая обязательна) Что с проблемами? Изменено 12 октября, 2010 пользователем MotherBoard Ссылка на комментарий Поделиться на другие сайты Поделиться
MAGWAR Опубликовано 12 октября, 2010 Автор Поделиться Опубликовано 12 октября, 2010 Mark D. Pearlstone дал сервисы разблокировки.давайте хотя бы лог Хиджака. В безопасносм режиме получалось загрузиться? Пробуйте коды: * 94376428 * 29543874 * 53298658 * 38724651 Проверил коды... безрезультатно. Ссылка на комментарий Поделиться на другие сайты Поделиться
illayj Опубликовано 12 октября, 2010 Поделиться Опубликовано 12 октября, 2010 Строгое предупреждение от модератора zell Прекращаем флуд! Ссылка на комментарий Поделиться на другие сайты Поделиться
MAGWAR Опубликовано 12 октября, 2010 Автор Поделиться Опубликовано 12 октября, 2010 пуск\Выполнить\erdregedit я ж говорю: не магу я запустить командную строку ни так ни в безопасном режиме... Ссылка на комментарий Поделиться на другие сайты Поделиться
MotherBoard Опубликовано 12 октября, 2010 Поделиться Опубликовано 12 октября, 2010 (изменено) Фикс сделали? F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe, если после фикса не изменится ситуация, пробуйте ERD загрузочный диск, смотрите пост №16 После правки реестра запомните путь файла вируса, переименуйте их, после переименования они уже будут неактивны C:\Program Files\Common Files\debug\smss.exe C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe, Изменено 12 октября, 2010 пользователем MotherBoard Ссылка на комментарий Поделиться на другие сайты Поделиться
MAGWAR Опубликовано 12 октября, 2010 Автор Поделиться Опубликовано 12 октября, 2010 У меня получилось сделать все три лога... что дальше? Правильно, что проводник не работает!(патчен реестр)Профиксьте в Хиджак! F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe, 10.0.0.5, 10.0.0.6 - это ваши IP? если фикс не спасёт, возьмите на здоровом ПК скачайте ЛивСД ERDCommandor или другой лечащий диск с возможностью правки реестра. Загрузитесь на больном ПК с лечебного диска пуск\Выполнить\erdregedit Гляньте ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Значение ключа Shell должно быть таким Explorer.exe(параметр должен быть без запятой!), если значение отличается - исправить на правильное. Правильное значения для Userinit это C:\WINDOWS\system32\userinit.exe,(в конце параметра запятая обязательна) Что с проблемами? С Shell все получилось, а вот userinit там вообьще нет((( и после перезагрузки shel опять становится неверным... virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
MotherBoard Опубликовано 12 октября, 2010 Поделиться Опубликовано 12 октября, 2010 (изменено) С Shell все получилось, а вот userinit там вообьще нет((( Как это? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Наравне с --- Winlogon случайно второго с маленькой буквы winlogon не имеется? выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\program files\common files\debug\smss.exe',''); QuarantineFile('D:\камера\Vmcap\copyfile.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Изображение 006.tif',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\EVROSTYLE',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\chkntfs.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe',''); QuarantineFile('C:\WINDOWS\19onmjrbq.exe',''); QuarantineFile('c:\windows\system32\4c4728b6.exe',''); QuarantineFile('c:\windows\system32\ilkbxa.exe',''); QuarantineFile('c:\windows\system32\ioztat.exe',''); DeleteFile('c:\windows\system32\4c4728b6.exe'); DeleteFile('c:\windows\system32\ilkbxa.exe'); DeleteFile('c:\windows\system32\ioztat.exe'); DeleteFile('C:\WINDOWS\19onmjrbq.exe'); DeleteFile('c:\program files\common files\debug\smss.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\chkntfs.exe'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('srv32'); BC_Activate; ExecuteRepair(13); ExecuteRepair(16); ExecuteRepair(20); RebootWindows(true); end. Комп перезагрузится. выполните скрипт begin CreateQurantineArchive('c:\quarantine.zip'); end. Файл quarantine.zip из папки AVZ отправьте через форму: http://support.kaspersky.ru/virlab/helpdesk.html Результаты ответа сообщите в теме. Повторите логи AVZ и Хиджак Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете, если не знаете - не удаляйте). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Изменено 12 октября, 2010 пользователем MotherBoard Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 12 октября, 2010 Поделиться Опубликовано 12 октября, 2010 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
MotherBoard Опубликовано 12 октября, 2010 Поделиться Опубликовано 12 октября, 2010 Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) ПРи повторных логах не забудьте обновить базы! Ссылка на комментарий Поделиться на другие сайты Поделиться
MAGWAR Опубликовано 12 октября, 2010 Автор Поделиться Опубликовано 12 октября, 2010 Всем спасиба! Попытаюсь сделать все как написали... Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти