modulle Опубликовано 10 июня, 2011 Поделиться Опубликовано 10 июня, 2011 Думаю всё понятно. Вылез рекламный баннер. В интернете искал такой, но не нашёл. Заражённый компьютер загружен в ERD Commander`e. ОС: XP SP3 x32 (x86). Нуждаюсь в помощи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 10 июня, 2011 Поделиться Опубликовано 10 июня, 2011 пуск|start - выполнить|run - erdregedit в подгруженном реестре с Вашего компьютера поищите в ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows этот параметр AppInit_DLLs в ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon этот параметр userinit и этот shell Приложите результат в новом сообщении (сами файлы не удаляйте!). Ссылка на комментарий Поделиться на другие сайты Поделиться
modulle Опубликовано 10 июня, 2011 Автор Поделиться Опубликовано 10 июня, 2011 Всё сделал как Вы и сказали, вот что в этих файлах написано: AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll Userinit: C:\Windows\System32\drivers\System32.exe Shell: Explorer.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 10 июня, 2011 Поделиться Опубликовано 10 июня, 2011 Исправляете параметр userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, После этого делайте логи по правилам Ссылка на комментарий Поделиться на другие сайты Поделиться
modulle Опубликовано 10 июня, 2011 Автор Поделиться Опубликовано 10 июня, 2011 (изменено) Исправляете параметр userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe Не помогло Изменено 10 июня, 2011 пользователем modulle Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 10 июня, 2011 Поделиться Опубликовано 10 июня, 2011 в конце обязательно должна быть запятая. измените значение на правильное. выгрузите реестр (при этом он сохранится) перезагрузитесь. загрузитесь в обычный режим. сделайте логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
modulle Опубликовано 10 июня, 2011 Автор Поделиться Опубликовано 10 июня, 2011 (изменено) Помощь больше не требуется Проверил всё программкой Malwarebytes' Anti-Malware и всё стало чики-пуки Изменено 10 июня, 2011 пользователем modulle Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 10 июня, 2011 Поделиться Опубликовано 10 июня, 2011 (изменено) Помощь больше не требуется Проверил всё программкой Malwarebytes' Anti-Malware и всё стало чики-пуки Не торопитесь, по вашим отчетам есть еще зловреды. Отчет о работе МБАМ сохранился? Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" Begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Windows\System32\drivers\System32.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll',''); DeleteFile('C:\Windows\System32\drivers\System32.exe'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','System32 Info Solution'); DelAutorunByFileName('C:\Windows\System32\drivers\System32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. + Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O4 - HKLM\..\Run: [System32 Info Solution] C:\Windows\System32\drivers\System32.exe + Установите Internet Explorer 8 (даже если им не пользуетесь) Повторите логи по правилам в обычном режиме. Отчет о работе МБАМ покажите. Если он у вас не сохранился, приложите скрин карантина МБАМ VKSaver, GuardMailRu – сами устанавливали? Эти программы вам нужны? Изменено 10 июня, 2011 пользователем Tiare Ссылка на комментарий Поделиться на другие сайты Поделиться
modulle Опубликовано 11 июня, 2011 Автор Поделиться Опубликовано 11 июня, 2011 (изменено) Установите Internet Explorer 8 (даже если им не пользуетесь) Установил. VKSaver, GuardMailRu – сами устанавливали? Эти программы вам нужны? Устанавливал лично я. VKSaver уже удалил, т.к. перестал им пользоваться, Гвард оставил. Скрин карантина также выложил, но он был сделан на следующий день до того, как я устранил проблему с рекламным баннером. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 11 июня, 2011 пользователем modulle Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 11 июня, 2011 Поделиться Опубликовано 11 июня, 2011 modulle, теперь чисто. Обязательно деинсталлируйте МБАМ! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. + >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end. + AVZ - Файл\Мастер поиска и устранения проблем- системные проблемы – все проблемы - выбрать >> Таймаут завершения процессов находится за пределами допустимых значений>> Таймаут завершения служб находится за пределами допустимых значений - Исправить отмеченные проблемы + обратите внимание. Службы, которые не используются на вашем компьютере, желательно отключить >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)>> Безопасность: к ПК разрешен доступ анонимного пользователя Если Вы хотите избежать нового заражения, то желательно: - не работать за компьютером с правами администратора; - использовать альтернативный браузер; - регулярно устанавливать обновления windows и обновлять антивирусные базы; После завершения лечения советую вам посетить эту тему , чтобы узнать больше об эффективных мерах профилактики заражения. Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 16 июня, 2011 Поделиться Опубликовано 16 июня, 2011 + Советую сменить все пароли Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти