MotherBoard 1 638 Опубликовано 12 октября, 2010 Share Опубликовано 12 октября, 2010 (изменено) Правильно, что проводник не работает!(патчен реестр) Профиксьте в Хиджак! F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe, 10.0.0.5, 10.0.0.6 - это ваши IP? если фикс не спасёт, возьмите на здоровом ПК скачайте ЛивСД ERDCommandor или другой лечащий диск с возможностью правки реестра. Загрузитесь на больном ПК с лечебного диска пуск\Выполнить\erdregedit Гляньте ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Значение ключа Shell должно быть таким Explorer.exe(параметр должен быть без запятой!), если значение отличается - исправить на правильное. Правильное значения для Userinit это C:\WINDOWS\system32\userinit.exe,(в конце параметра запятая обязательна) Что с проблемами? Изменено 12 октября, 2010 пользователем MotherBoard Цитата Ссылка на сообщение Поделиться на другие сайты
MAGWAR 0 Опубликовано 12 октября, 2010 Автор Share Опубликовано 12 октября, 2010 Mark D. Pearlstone дал сервисы разблокировки.давайте хотя бы лог Хиджака. В безопасносм режиме получалось загрузиться? Пробуйте коды: * 94376428 * 29543874 * 53298658 * 38724651 Проверил коды... безрезультатно. Цитата Ссылка на сообщение Поделиться на другие сайты
illayj 10 Опубликовано 12 октября, 2010 Share Опубликовано 12 октября, 2010 Строгое предупреждение от модератора zell Прекращаем флуд! Цитата Ссылка на сообщение Поделиться на другие сайты
MAGWAR 0 Опубликовано 12 октября, 2010 Автор Share Опубликовано 12 октября, 2010 пуск\Выполнить\erdregedit я ж говорю: не магу я запустить командную строку ни так ни в безопасном режиме... Цитата Ссылка на сообщение Поделиться на другие сайты
MotherBoard 1 638 Опубликовано 12 октября, 2010 Share Опубликовано 12 октября, 2010 (изменено) Фикс сделали? F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe, если после фикса не изменится ситуация, пробуйте ERD загрузочный диск, смотрите пост №16 После правки реестра запомните путь файла вируса, переименуйте их, после переименования они уже будут неактивны C:\Program Files\Common Files\debug\smss.exe C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe, Изменено 12 октября, 2010 пользователем MotherBoard Цитата Ссылка на сообщение Поделиться на другие сайты
MAGWAR 0 Опубликовано 12 октября, 2010 Автор Share Опубликовано 12 октября, 2010 У меня получилось сделать все три лога... что дальше? Правильно, что проводник не работает!(патчен реестр)Профиксьте в Хиджак! F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe, 10.0.0.5, 10.0.0.6 - это ваши IP? если фикс не спасёт, возьмите на здоровом ПК скачайте ЛивСД ERDCommandor или другой лечащий диск с возможностью правки реестра. Загрузитесь на больном ПК с лечебного диска пуск\Выполнить\erdregedit Гляньте ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Значение ключа Shell должно быть таким Explorer.exe(параметр должен быть без запятой!), если значение отличается - исправить на правильное. Правильное значения для Userinit это C:\WINDOWS\system32\userinit.exe,(в конце параметра запятая обязательна) Что с проблемами? С Shell все получилось, а вот userinit там вообьще нет((( и после перезагрузки shel опять становится неверным... virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
MotherBoard 1 638 Опубликовано 12 октября, 2010 Share Опубликовано 12 октября, 2010 (изменено) С Shell все получилось, а вот userinit там вообьще нет((( Как это? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Наравне с --- Winlogon случайно второго с маленькой буквы winlogon не имеется? выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\program files\common files\debug\smss.exe',''); QuarantineFile('D:\камера\Vmcap\copyfile.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Изображение 006.tif',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\EVROSTYLE',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\chkntfs.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe',''); QuarantineFile('C:\WINDOWS\19onmjrbq.exe',''); QuarantineFile('c:\windows\system32\4c4728b6.exe',''); QuarantineFile('c:\windows\system32\ilkbxa.exe',''); QuarantineFile('c:\windows\system32\ioztat.exe',''); DeleteFile('c:\windows\system32\4c4728b6.exe'); DeleteFile('c:\windows\system32\ilkbxa.exe'); DeleteFile('c:\windows\system32\ioztat.exe'); DeleteFile('C:\WINDOWS\19onmjrbq.exe'); DeleteFile('c:\program files\common files\debug\smss.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\chkntfs.exe'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('srv32'); BC_Activate; ExecuteRepair(13); ExecuteRepair(16); ExecuteRepair(20); RebootWindows(true); end. Комп перезагрузится. выполните скрипт begin CreateQurantineArchive('c:\quarantine.zip'); end. Файл quarantine.zip из папки AVZ отправьте через форму: http://support.kaspersky.ru/virlab/helpdesk.html Результаты ответа сообщите в теме. Повторите логи AVZ и Хиджак Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете, если не знаете - не удаляйте). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Изменено 12 октября, 2010 пользователем MotherBoard Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 12 октября, 2010 Share Опубликовано 12 октября, 2010 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
MotherBoard 1 638 Опубликовано 12 октября, 2010 Share Опубликовано 12 октября, 2010 Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) ПРи повторных логах не забудьте обновить базы! Цитата Ссылка на сообщение Поделиться на другие сайты
MAGWAR 0 Опубликовано 12 октября, 2010 Автор Share Опубликовано 12 октября, 2010 Всем спасиба! Попытаюсь сделать все как написали... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.