Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Срочно памагите плз!

MAGWAR

Автор MAGWAR
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

MotherBoard Ветеран

MotherBoard

Опубликовано
Опубликовано (изменено)

Правильно, что проводник не работает!(патчен реестр)

Профиксьте в Хиджак!

F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe,

 

10.0.0.5, 10.0.0.6 - это ваши IP?

 

если фикс не спасёт, возьмите на здоровом ПК скачайте ЛивСД ERDCommandor или другой лечащий диск с возможностью правки реестра.

Загрузитесь на больном ПК с лечебного диска

пуск\Выполнить\erdregedit

 

Гляньте ветку реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Значение ключа Shell должно быть таким Explorer.exe(параметр должен быть без запятой!), если значение отличается - исправить на правильное.

Правильное значения для Userinit это

C:\WINDOWS\system32\userinit.exe,(в конце параметра запятая обязательна)

 

 

Что с проблемами?

Изменено пользователем MotherBoard
Ссылка на комментарий
Поделиться на другие сайты
MAGWAR Новичок

MAGWAR

Опубликовано
  • Автор
Опубликовано
Mark D. Pearlstone дал сервисы разблокировки.

давайте хотя бы лог Хиджака.

В безопасносм режиме получалось загрузиться?

Пробуйте коды:

* 94376428

* 29543874

* 53298658

* 38724651

Проверил коды... безрезультатно.

Ссылка на комментарий
Поделиться на другие сайты
MotherBoard Ветеран

MotherBoard

Опубликовано
Опубликовано (изменено)

Фикс сделали?

F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe,

 

если после фикса не изменится ситуация, пробуйте ERD загрузочный диск, смотрите пост №16

 

После правки реестра запомните путь файла вируса, переименуйте их, после переименования они уже будут неактивны

C:\Program Files\Common Files\debug\smss.exe

C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe,

Изменено пользователем MotherBoard
Ссылка на комментарий
Поделиться на другие сайты
MAGWAR Новичок

MAGWAR

Опубликовано
  • Автор
Опубликовано

У меня получилось сделать все три лога... что дальше?

 

Правильно, что проводник не работает!(патчен реестр)

Профиксьте в Хиджак!

F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe,

 

10.0.0.5, 10.0.0.6 - это ваши IP?

 

если фикс не спасёт, возьмите на здоровом ПК скачайте ЛивСД ERDCommandor или другой лечащий диск с возможностью правки реестра.

Загрузитесь на больном ПК с лечебного диска

пуск\Выполнить\erdregedit

 

Гляньте ветку реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Значение ключа Shell должно быть таким Explorer.exe(параметр должен быть без запятой!), если значение отличается - исправить на правильное.

Правильное значения для Userinit это

C:\WINDOWS\system32\userinit.exe,(в конце параметра запятая обязательна)

 

 

Что с проблемами?

С Shell все получилось, а вот userinit там вообьще нет(((

и после перезагрузки shel опять становится неверным...

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
MotherBoard Ветеран

MotherBoard

Опубликовано
Опубликовано (изменено)
С Shell все получилось, а вот userinit там вообьще нет(((

Как это?

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Наравне с --- Winlogon случайно второго с маленькой буквы winlogon не имеется?

 

 

выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\common files\debug\smss.exe','');
QuarantineFile('D:\камера\Vmcap\copyfile.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Изображение 006.tif','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\EVROSTYLE','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\chkntfs.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe','');
QuarantineFile('C:\WINDOWS\19onmjrbq.exe','');
QuarantineFile('c:\windows\system32\4c4728b6.exe','');
QuarantineFile('c:\windows\system32\ilkbxa.exe','');
QuarantineFile('c:\windows\system32\ioztat.exe','');
DeleteFile('c:\windows\system32\4c4728b6.exe');
DeleteFile('c:\windows\system32\ilkbxa.exe');
DeleteFile('c:\windows\system32\ioztat.exe');
DeleteFile('C:\WINDOWS\19onmjrbq.exe');
DeleteFile('c:\program files\common files\debug\smss.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\chkntfs.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srv32');
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.

 

Комп перезагрузится.

выполните скрипт

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте через форму: http://support.kaspersky.ru/virlab/helpdesk.html

 

Результаты ответа сообщите в теме.

 

 

Повторите логи AVZ и Хиджак

 

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете, если не знаете - не удаляйте). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Изменено пользователем MotherBoard
Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
Поделиться на другие сайты
MotherBoard Ветеран

MotherBoard

Опубликовано
Опубликовано
Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

ПРи повторных логах не забудьте обновить базы!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Срочно обновите PyTorch | Блог Касперского
      Автор KL FC Bot
      Исследователь обнаружил уязвимость в PyTorch, фреймворке машинного обучения с открытым исходным кодом. Уязвимость, зарегистрированная под номером CVE-2025-32434, относится к классу Remote Code Execution (RCE) и имеет рейтинг 9,3 по шкале CVSS, то есть категорируется как критическая. Эксплуатация CVE-2025-32434 при определенных условиях позволяет злоумышленнику запускать на компьютере жертвы, скачивающей ИИ-модель произвольный код. Всем, кто использует PyTorch для работы с нейросетями, рекомендуется как можно скорее обновить фреймворк до последней версии.
      Суть уязвимости CVE-2025-32434
      Фреймворк PyTorch, помимо всего прочего, позволяет сохранять уже обученные модели в файл, который хранит веса связей. И, разумеется, загружать их при помощи функции torch.load(). Обученные модели часто выкладываются в общий доступ через разнообразные публичные репозитории и теоретически в них могут быть вредоносные закладки. Поэтому официальная документация проекта в целях безопасности рекомендует использовать функцию torch.load() с параметром weights_only=True (в таком случае загружаются только примитивные типы данных: словари, тензоры, списки, и так далее).
      Уязвимость CVE-2025-32434 заключается в некорректно реализованном механизме десериализации при загрузке модели. Обнаруживший ее исследователь продемонстрировал, что атакующий может создать файл модели таким способом, что параметр weights_only=True приведет к прямо противоположному эффекту — при загрузке будет выполнен произвольный код, способный скомпрометировать среду, в котором запускается модель.
       
      View the full article
    • дима____999
      Так вот такая проблема пришлось зарегатся в вк не помогают очень странно,вот ошибка иль вирус такой не видио он как удалить бесит срочно ответ ,выходит постоянно
      Автор дима____999
×
×
  • Создать...