Баннер Рабочего Стола

[BAHEK1987]

 

через ERD Commander загрузился чтот в реестре ничего не нашёл - может не там исчу?

[G.HosT]

 

через ERD Commander загрузился чтот в реестре ничего не нашёл - может не там исчу?

http://support.kaspersky.ru/viruses/deblocker

 

Раскрывающийся текст:

Попробуйте следующие коды разблокировки:

 

1. IDSPISPOPD

2. 65453

3. 11-22

4. 09090221985

5. 5552554556

6. 330997

7. 200-100

8. 37950255

9. 635400

10. 31250624

11. 30197630

12. $009264834$

13. 825azee285

14. n656434676

15. BAKASANO222

16. Correct777

17. 769408

18. 3679075791

19. 66819

20. 9566632

21. 796658502

22. SUSLIK220

23. 3369022

24. 72014039

25. 11227379

26. 123932

27. 378525

28. 177852

29. 443309556

30. 310315

31. 77294738T

32. 80255474

33. привет пионеры

34. PIZDA

35. 336985

36. 13255925408829113

37. (0Q20P04X)

38. 4039285681

39. 70288

40. 965547

41. 752221

42. 820102

43. 666REALHELL666

44. 73936

45. 996301

46. 339852144

47. 2E010A7QQ

48. 9850021

49. 1544756607573

50. 093019364

51. 7588854525

52. 5702226

53. 9004585474

54. 56543878

55. 676543

56. $20683054%

57. #)11120495

58. 11807959603153209

59. 53298658

60. 11224606

61. 211220012

62. 403956320

63. беллисиммо

64. караматабука

65. гудрончик

66. гнилозуб (внимание: перед словом пробел)

67. перелёт

68. кандагар

69. киргуда

70. тарабум

71. солнышко

72. геродот

73. гуталин

74. RoeKYdRz

75. 403947563!

76. $334327890$

 

 

Изменено 13 ноября, 2010 пользователем Mafioznik0011

[BAHEK1987]

Проверил следующее

 

В [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

смотрим параметры:

Userinit → в значении должно быть только: C:\WINDOWS\SYSTEM32\Userinit.exe,

Shell → в значении должно быть только: explorer.exe

Заменяем значения которые у вас в этих параметрах на эти↑.

(*примечание: у вас папка WINDOWS может называться по-другому (если второй Windows...) или не на диске C:\ ,а на другом диске..)

 

поудалял лишнее в реестре

 

сейчас выложу логи

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 13 ноября, 2010 пользователем BAHEK1987

[Roman_Five]

поудалял лишнее в реестре

помните, что именно?

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\system32\usrinit.exe','');
QuarantineFile('C:\WINDOWS\I386\SVCPACK\VistaDrive.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Winxss.exe','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Winxss.exe');
DeleteFile('C:\WINDOWS\system32\usrinit.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Firewall');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

 

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Сделайте новые логи по правилам.

[Добрый Заазыч]

а как ты его подцепил то...

[G.HosT]

а как ты его подцепил то...

Оттуда что написано в окне Троянца )))))))))))) именно то что там написано в начале )))

[BAHEK1987]

а как ты его подцепил то...

 

Ребят - почему именно я? подцепил!

у меня много друзей! и знакомых!

которым по доброте душевной приходится помогать!

 

Сил нет смотреть на их грустные глаза с просьбой о помощи... сам что знаю - то делаю :0 а так всегда с вопросами к вам

 

 

ЛОГИ Сделал! Скрипт выполнил! SP 3 Установил!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 16 ноября, 2010 пользователем BAHEK1987

[thyrex]

Лог HiJack не для этой системы

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\usrinit.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Winxss.exe','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Winxss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Fire-wall');
DeleteFile('C:\WINDOWS\system32\usrinit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Сделайте новые логи

[Roman_Five]

ЛОГИ Сделал! Скрипт выполнил! SP 3 Установил!

может и сделали, но логи выложили старые

Сканирование запущено в 13.11.2010 13:15:52

...

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

[BAHEK1987]

Сканирование запущено в 13.11.2010 13:15:52

...

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

 

спасибо!

 

схожу к этой девушке ! сделаю новые логи!