SergioPhoenix 0 Опубликовано 18 июня, 2011 Автор Share Опубликовано 18 июня, 2011 писать без раздела, без папки, просто explorer.exe ? Ну я именно так и написал в параметрах кода shell , но тут не то что рабочий стол не грузится, тут даже окно загрузчика винды не появляется (там где бегущая полоска еще ). Попробую как смогу заменить юзеринит, . . и еще, все ли у меня в порядке с Appinit_DLLs ? Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 18 июня, 2011 Share Опубликовано 18 июня, 2011 все ли у меня в порядке с Appinit_DLLs ? а как мы узнаем, если Вы не приложили значения. Попробую как смогу заменить юзеринит, о результате отпишитесь Цитата Ссылка на сообщение Поделиться на другие сайты
SergioPhoenix 0 Опубликовано 18 июня, 2011 Автор Share Опубликовано 18 июня, 2011 ну как же? , на предидущей странице написал значение этого кода, сразу как просили. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 июня, 2011 Share Опубликовано 18 июня, 2011 Вы еще на скольких форумах создали тему по своей проблеме? На оффоруме вроде была, в 911 тоже Цитата Ссылка на сообщение Поделиться на другие сайты
SergioPhoenix 0 Опубликовано 18 июня, 2011 Автор Share Опубликовано 18 июня, 2011 извиняйте. Уже 4 дня система стоит, думал так быстрее решение найду . . Понятия не имел, что эти форумы связаны между собой. Хорошо буду в 911 консультироваться)) в 911 посоветовали восстановить файл explorer.exe , как это сделать? В систему войти все еще не могу, все манипуляции сделал - теперь просто черный экран висит. Диспетчер задач не пашит. Есть avz на флешке, в erd commander зашел, запустил авз, файл - восстановление системы, почему-то только галочки - а описания пунктов нет, возможно баг erd commandera , так что отметил все пункты - нажал восстановить, перезапустился - винт все равно не грузится. . . Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 18 июня, 2011 Share Опубликовано 18 июня, 2011 в 911 посоветовали восстановить файл explorer.exe , как это сделать? с дистрибутива http://virusinfo.info/showthread.php?t=51654 Цитата Ссылка на сообщение Поделиться на другие сайты
SergioPhoenix 0 Опубликовано 18 июня, 2011 Автор Share Опубликовано 18 июня, 2011 (изменено) в общем СПАСИБО всем огромное, я закрыл заявку на 911, баннер убит Теперь поподробнее, т.к. нужна консультация по поводу того как добить остатки баннера. И так: после замены файлов taskmgr.exe и userinit.exe в систему войти все еще не получалось - что-то не так было с explorer.exe видимо - я так до конца и не понял что, был прост очерный экран вместо загрузки системы. Теперь чуть-чуть ясности - (у меня на системе не запускается по-нормальному (через f8) безопасный режим, или окно выбора вариантов загрузки - как удодно. F8 - у меня это выбор дисков от floppy и до cd/dvd, окно выбора вариантов загрузки запускается как-то спонтанно только если: в системе 2 операционки, или произошла критическая ошибка. Т.к. я не мог войти в Windows - реши лпопробовать поставить вторую операционку и взять из неё этот файл - explorer.exe. Потом вспомнил про эту непонятку с загрузкой безопасного режима - отменил установку - но она была уже начата. Итог: у меня есть экран выбора операционных систем и ариантов их загрузки =))) Зашел в безопасник. (кстати так и не пойму как самому можно открыть окно выбора вариантов загрузки?)) В безопасном режиме с поддержкой командной строки выбрал восстановление системы, дату - 10 июня. Восстановилась, перезагрузка - ВУАЛЯ! Нет черного экрана, загрузился мой родной Windows =) Теперь хотелось бы узнать что нужно предпринять в первую очередь чтобы найти остатки этой дряни вымогательской? P.S. сейчас скан системы сделаю антивирем, потом 5 минут и будут логи по всем правилам, Sorry, забыл совсем на радостях Изменено 18 июня, 2011 пользователем SergioPhoenix Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 18 июня, 2011 Share Опубликовано 18 июня, 2011 сейчас скан системы сделаю антивирем, потом 5 минут до сих пор идёт проверка? Цитата Ссылка на сообщение Поделиться на другие сайты
SergioPhoenix 0 Опубликовано 18 июня, 2011 Автор Share Опубликовано 18 июня, 2011 (изменено) до сих пор идёт проверка? вы не поверите, Dr web после обновления(спустя 4 дня) удивл: проверил за 2 ч. 35 мин. только 12 процентов, отменил пока, быструю проверку онлайн сканером и логи) логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 18 июня, 2011 пользователем SergioPhoenix Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application data\*.exe','Locker'); DeleteFileMask('C:\Documents and Settings\All Users\Application data\ ','*.exe ',false ,' '); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O3 - Toolbar: (no name) - {7778AA60-698A-41D9-9BF0-7AB41045AA7F} - (no file) Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой: - DrWeb. Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. После проведённого лечения рекомендуется установить следующие обновления: - все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
SEcrash63 43 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 диспетчер задач работает? у меня был такой вирус, пришлось заменять файлы userinit и taskmgr.exe.. ,были вредоносными... из них постоянно загружасля файл 22CC6C32.exe пока не замел их с рабочей винды.. Цитата Ссылка на сообщение Поделиться на другие сайты
SergioPhoenix 0 Опубликовано 19 июня, 2011 Автор Share Опубликовано 19 июня, 2011 выше читайте - все уже) не работал ни диспетчер ни вообще загрузка после удаления этого файла) откатом системы через безопасник решил проблему. лог свыслал Mbam удивил, если не учитывать его ругань в адрес всяких кряков ит.п - то вот в папках System32 и в system volume information есть подозрения что что-то не так mbam_log_2011_06_19__14_23_46_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 Эти файлы проверьте на virustotal.com c:\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> No action taken. c:\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> No action taken. c:\Phx_data\Res\RICO.exe (Backdoor.Bot) -> No action taken. c:\Phx_data\Res\ss.exe (Backdoor.Bot) -> No action taken. 4 ссылки на результаты проверок приложите. Удалите в MBAM: Зараженные папки: c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken. c:\documents and settings\all users\главное меню\программы\Spycheck (Rogue.SpycheckAntiSpyware) -> No action taken. c:\documents and settings\all users\главное меню\программы\Spycheck\spycheck antispyware (Rogue.SpycheckAntiSpyware) -> No action taken. Зараженные файлы: c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken. c:\system volume information\_restore{3015d321-e524-4513-affe-ee643e3eacac}\RP107\A0043555.exe (Trojan.FakeMS) -> No action taken. c:\system volume information\_restore{3015d321-e524-4513-affe-ee643e3eacac}\RP107\A0043738.exe (Trojan.FakeMS) -> No action taken. d:\system volume information\_restore{3015d321-e524-4513-affe-ee643e3eacac}\RP110\A0046366.exe (RiskWare.Tool.CK) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Кряки можете сами проверить на virustotal. если Вам не понравится результат - удаляйте в MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
SergioPhoenix 0 Опубликовано 19 июня, 2011 Автор Share Опубликовано 19 июня, 2011 результаты: c:\Phx_data\Res\EmuCfg.exe http://www.virustotal.com/file-scan/reanal...0661-1308507534 c:\Phx_data\Res\GCFMgr.exe http://www.virustotal.com/file-scan/reanal...bf71-1308508002 c:\Phx_data\Res\RICO.exe http://www.virustotal.com/file-scan/reanal...948c-1308508051 c:\Phx_data\Res\ss.exe http://www.virustotal.com/file-scan/reanal...a42a-1308507684 те, которые надо было удалить - удалил (потом правда mbam попросил перезагрузиться, после чего система 2 раза вылетела сразу после загрузки рабочего стола - но потом вроде запустилась.... не знаю с чем связано) Лог: mbam_log_2011_06_19__22_20_18_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 c:\Phx_data\ а что вообще в этой папке? если вам оно надо - то всё ок. если нет - можно удалить. деинсталлируйте MBAM После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.