modulle 0 Опубликовано 10 июня, 2011 Share Опубликовано 10 июня, 2011 Думаю всё понятно. Вылез рекламный баннер. В интернете искал такой, но не нашёл. Заражённый компьютер загружен в ERD Commander`e. ОС: XP SP3 x32 (x86). Нуждаюсь в помощи. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 июня, 2011 Share Опубликовано 10 июня, 2011 пуск|start - выполнить|run - erdregedit в подгруженном реестре с Вашего компьютера поищите в ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows этот параметр AppInit_DLLs в ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon этот параметр userinit и этот shell Приложите результат в новом сообщении (сами файлы не удаляйте!). Цитата Ссылка на сообщение Поделиться на другие сайты
modulle 0 Опубликовано 10 июня, 2011 Автор Share Опубликовано 10 июня, 2011 Всё сделал как Вы и сказали, вот что в этих файлах написано: AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll Userinit: C:\Windows\System32\drivers\System32.exe Shell: Explorer.exe Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 10 июня, 2011 Share Опубликовано 10 июня, 2011 Исправляете параметр userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, После этого делайте логи по правилам Цитата Ссылка на сообщение Поделиться на другие сайты
modulle 0 Опубликовано 10 июня, 2011 Автор Share Опубликовано 10 июня, 2011 (изменено) Исправляете параметр userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe Не помогло Изменено 10 июня, 2011 пользователем modulle Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 июня, 2011 Share Опубликовано 10 июня, 2011 в конце обязательно должна быть запятая. измените значение на правильное. выгрузите реестр (при этом он сохранится) перезагрузитесь. загрузитесь в обычный режим. сделайте логи. Цитата Ссылка на сообщение Поделиться на другие сайты
modulle 0 Опубликовано 10 июня, 2011 Автор Share Опубликовано 10 июня, 2011 (изменено) Помощь больше не требуется Проверил всё программкой Malwarebytes' Anti-Malware и всё стало чики-пуки Изменено 10 июня, 2011 пользователем modulle Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 10 июня, 2011 Share Опубликовано 10 июня, 2011 (изменено) Помощь больше не требуется Проверил всё программкой Malwarebytes' Anti-Malware и всё стало чики-пуки Не торопитесь, по вашим отчетам есть еще зловреды. Отчет о работе МБАМ сохранился? Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" Begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Windows\System32\drivers\System32.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll',''); DeleteFile('C:\Windows\System32\drivers\System32.exe'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','System32 Info Solution'); DelAutorunByFileName('C:\Windows\System32\drivers\System32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. + Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O4 - HKLM\..\Run: [System32 Info Solution] C:\Windows\System32\drivers\System32.exe + Установите Internet Explorer 8 (даже если им не пользуетесь) Повторите логи по правилам в обычном режиме. Отчет о работе МБАМ покажите. Если он у вас не сохранился, приложите скрин карантина МБАМ VKSaver, GuardMailRu – сами устанавливали? Эти программы вам нужны? Изменено 10 июня, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
modulle 0 Опубликовано 11 июня, 2011 Автор Share Опубликовано 11 июня, 2011 (изменено) Установите Internet Explorer 8 (даже если им не пользуетесь) Установил. VKSaver, GuardMailRu – сами устанавливали? Эти программы вам нужны? Устанавливал лично я. VKSaver уже удалил, т.к. перестал им пользоваться, Гвард оставил. Скрин карантина также выложил, но он был сделан на следующий день до того, как я устранил проблему с рекламным баннером. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 11 июня, 2011 пользователем modulle Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 11 июня, 2011 Share Опубликовано 11 июня, 2011 modulle, теперь чисто. Обязательно деинсталлируйте МБАМ! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. + >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end. + AVZ - Файл\Мастер поиска и устранения проблем- системные проблемы – все проблемы - выбрать >> Таймаут завершения процессов находится за пределами допустимых значений>> Таймаут завершения служб находится за пределами допустимых значений - Исправить отмеченные проблемы + обратите внимание. Службы, которые не используются на вашем компьютере, желательно отключить >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)>> Безопасность: к ПК разрешен доступ анонимного пользователя Если Вы хотите избежать нового заражения, то желательно: - не работать за компьютером с правами администратора; - использовать альтернативный браузер; - регулярно устанавливать обновления windows и обновлять антивирусные базы; После завершения лечения советую вам посетить эту тему , чтобы узнать больше об эффективных мерах профилактики заражения. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 16 июня, 2011 Share Опубликовано 16 июня, 2011 + Советую сменить все пароли Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.