Перейти к содержанию
Правила раздела

Срочно памагите плз!

MAGWAR

От MAGWAR
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

MotherBoard Ветеран

MotherBoard

Опубликовано
Опубликовано (изменено)

Правильно, что проводник не работает!(патчен реестр)

Профиксьте в Хиджак!

F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe,

 

10.0.0.5, 10.0.0.6 - это ваши IP?

 

если фикс не спасёт, возьмите на здоровом ПК скачайте ЛивСД ERDCommandor или другой лечащий диск с возможностью правки реестра.

Загрузитесь на больном ПК с лечебного диска

пуск\Выполнить\erdregedit

 

Гляньте ветку реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Значение ключа Shell должно быть таким Explorer.exe(параметр должен быть без запятой!), если значение отличается - исправить на правильное.

Правильное значения для Userinit это

C:\WINDOWS\system32\userinit.exe,(в конце параметра запятая обязательна)

 

 

Что с проблемами?

Изменено пользователем MotherBoard
Ссылка на комментарий
Поделиться на другие сайты
MAGWAR Новичок

MAGWAR

Опубликовано
  • Автор
Опубликовано
Mark D. Pearlstone дал сервисы разблокировки.

давайте хотя бы лог Хиджака.

В безопасносм режиме получалось загрузиться?

Пробуйте коды:

* 94376428

* 29543874

* 53298658

* 38724651

Проверил коды... безрезультатно.

Ссылка на комментарий
Поделиться на другие сайты
MotherBoard Ветеран

MotherBoard

Опубликовано
Опубликовано (изменено)

Фикс сделали?

F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe,

 

если после фикса не изменится ситуация, пробуйте ERD загрузочный диск, смотрите пост №16

 

После правки реестра запомните путь файла вируса, переименуйте их, после переименования они уже будут неактивны

C:\Program Files\Common Files\debug\smss.exe

C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe,

Изменено пользователем MotherBoard
Ссылка на комментарий
Поделиться на другие сайты
MAGWAR Новичок

MAGWAR

Опубликовано
  • Автор
Опубликовано

У меня получилось сделать все три лога... что дальше?

 

Правильно, что проводник не работает!(патчен реестр)

Профиксьте в Хиджак!

F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\debug\smss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ilkbxa.exe,C:\WINDOWS\system32\4c4728b6.exe,C:\WINDOWS\system32\ioztat.exe,

 

10.0.0.5, 10.0.0.6 - это ваши IP?

 

если фикс не спасёт, возьмите на здоровом ПК скачайте ЛивСД ERDCommandor или другой лечащий диск с возможностью правки реестра.

Загрузитесь на больном ПК с лечебного диска

пуск\Выполнить\erdregedit

 

Гляньте ветку реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Значение ключа Shell должно быть таким Explorer.exe(параметр должен быть без запятой!), если значение отличается - исправить на правильное.

Правильное значения для Userinit это

C:\WINDOWS\system32\userinit.exe,(в конце параметра запятая обязательна)

 

 

Что с проблемами?

С Shell все получилось, а вот userinit там вообьще нет(((

и после перезагрузки shel опять становится неверным...

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
MotherBoard Ветеран

MotherBoard

Опубликовано
Опубликовано (изменено)
С Shell все получилось, а вот userinit там вообьще нет(((

Как это?

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Наравне с --- Winlogon случайно второго с маленькой буквы winlogon не имеется?

 

 

выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\common files\debug\smss.exe','');
QuarantineFile('D:\камера\Vmcap\copyfile.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Изображение 006.tif','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\EVROSTYLE','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\chkntfs.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe','');
QuarantineFile('C:\WINDOWS\19onmjrbq.exe','');
QuarantineFile('c:\windows\system32\4c4728b6.exe','');
QuarantineFile('c:\windows\system32\ilkbxa.exe','');
QuarantineFile('c:\windows\system32\ioztat.exe','');
DeleteFile('c:\windows\system32\4c4728b6.exe');
DeleteFile('c:\windows\system32\ilkbxa.exe');
DeleteFile('c:\windows\system32\ioztat.exe');
DeleteFile('C:\WINDOWS\19onmjrbq.exe');
DeleteFile('c:\program files\common files\debug\smss.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\chkntfs.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srv32');
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.

 

Комп перезагрузится.

выполните скрипт

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте через форму: http://support.kaspersky.ru/virlab/helpdesk.html

 

Результаты ответа сообщите в теме.

 

 

Повторите логи AVZ и Хиджак

 

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете, если не знаете - не удаляйте). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Изменено пользователем MotherBoard
Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
Поделиться на другие сайты
MotherBoard Ветеран

MotherBoard

Опубликовано
Опубликовано
Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

ПРи повторных логах не забудьте обновить базы!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • дима____999
      Так вот такая проблема пришлось зарегатся в вк не помогают очень странно,вот ошибка иль вирус такой не видио он как удалить бесит срочно ответ ,выходит постоянно
      От дима____999
    • Salieri
      Срочно нужно скрыть следы
      От Salieri
      Здраствуйте, играл в игру с софтом, нужно идти на проверку, нужно удалить всё следы о софте, можете помочь?
    • KL FC Bot
      Срочное обновление iPhone до iOS 16.4.1 и «Мак» до macOS 13.3.1 | Блог Касперского
      От KL FC Bot
      Не успели мы написать о крайне неприятных уязвимостях в операционных системах Apple и Microsoft, а также чипах Samsung Exynos, позволяющих взламывать смартфоны без каких-либо действий со стороны их владельца, как появилась информация о еще парочке очень серьезных дыр в iOS и macOS, которые уже эксплуатируются злоумышленниками. Уязвимости настолько неприятные, что для борьбы с ними в Apple крайне оперативно выпустили обновления, причем не только для самых свежих операционных систем, но и для нескольких предыдущих версий. Но расскажем обо всем по порядку.
      Уязвимости в WebKit и IOSurfaceAccelerator
      Всего было обнаружено две уязвимости. Первая, получившая наименование CVE-2023-28205 (уровень опасности «высокий»: 8,8/10), касается движка WebKit, который является основой браузера Safari (и не только его, но об этом ниже). Суть этой уязвимости в том, что, используя специальным образом созданную вредоносную страницу, можно выполнить на устройстве произвольный код.
      Вторая уязвимость — CVE-2023-28206 (уровень опасности «высокий»: 8,6/10) — была найдена в объекте IOSurfaceAccelerator. Ее эксплуатация дает возможность выполнения кода с правами ядра операционной системы. Таким образом, эти две уязвимости могут использоваться в паре: в этом случае первая служит для начального проникновения на устройство и эксплуатации второй уязвимости. А вторая, в свою очередь, позволяет «убежать из песочницы» и делать с зараженным устройством практически что угодно.
      Обе уязвимости касаются как настольных операционных систем macOS, так и мобильных: iOS, iPadOS и tvOS. Уязвимы не только самые новые поколения этих ОС, но и предыдущие, поэтому Apple поэтапно выпустила обновления для целого ряда систем: macOS 11, 12 и 13, iOS/iPadOS 15 и 16, а также для tvOS 16.
       
      View the full article
    • Oleg_1891
      Нужна срочная помощь в удаление вируса RedLine и вируса Wacatac
      От Oleg_1891
      Здраствуйте, я установил два вируса по своей глупости и попытался их убрать с помощью Microsoft Defender, но они продолжают возвращаться на мой компьютер, помогите.  

×
×
  • Создать...