Рекламный баннер

[SergioPhoenix]

писать без раздела, без папки, просто explorer.exe ? Ну я именно так и написал в параметрах кода shell , но тут не то что рабочий стол не грузится, тут даже окно загрузчика винды не появляется (там где бегущая полоска еще ). Попробую как смогу заменить юзеринит, . .

 

и еще, все ли у меня в порядке с Appinit_DLLs ?

[Roman_Five]

все ли у меня в порядке с Appinit_DLLs ?

а как мы узнаем, если Вы не приложили значения.

 

Попробую как смогу заменить юзеринит,

о результате отпишитесь

[SergioPhoenix]

ну как же? , на предидущей странице написал значение этого кода, сразу как просили.

[thyrex]

Вы еще на скольких форумах создали тему по своей проблеме?

 

На оффоруме вроде была, в 911 тоже

[SergioPhoenix]

извиняйте. Уже 4 дня система стоит, думал так быстрее решение найду . . Понятия не имел, что эти форумы связаны между собой. Хорошо буду в 911 консультироваться))

 

в 911 посоветовали восстановить файл explorer.exe , как это сделать? В систему войти все еще не могу, все манипуляции сделал - теперь просто черный экран висит. Диспетчер задач не пашит. Есть avz на флешке, в erd commander зашел, запустил авз, файл - восстановление системы, почему-то только галочки - а описания пунктов нет, возможно баг erd commandera , так что отметил все пункты - нажал восстановить, перезапустился - винт все равно не грузится. . .

[Roman_Five]

в 911 посоветовали восстановить файл explorer.exe , как это сделать?

с дистрибутива

 

http://virusinfo.info/showthread.php?t=51654

[SergioPhoenix]

в общем СПАСИБО всем огромное, я закрыл заявку на 911, баннер убит

Теперь поподробнее, т.к. нужна консультация по поводу того как добить остатки баннера.

 

И так: после замены файлов taskmgr.exe и userinit.exe в систему войти все еще не получалось - что-то не так было с explorer.exe видимо - я так до конца и не понял что, был прост очерный экран вместо загрузки системы.

Теперь чуть-чуть ясности - (у меня на системе не запускается по-нормальному (через f8) безопасный режим, или окно выбора вариантов загрузки - как удодно. F8 - у меня это выбор дисков от floppy и до cd/dvd, окно выбора вариантов загрузки запускается как-то спонтанно только если: в системе 2 операционки, или произошла критическая ошибка. Т.к. я не мог войти в Windows - реши лпопробовать поставить вторую операционку и взять из неё этот файл - explorer.exe. Потом вспомнил про эту непонятку с загрузкой безопасного режима - отменил установку - но она была уже начата. Итог: у меня есть экран выбора операционных систем и ариантов их загрузки =))) Зашел в безопасник. (кстати так и не пойму как самому можно открыть окно выбора вариантов загрузки?))

В безопасном режиме с поддержкой командной строки выбрал восстановление системы, дату - 10 июня. Восстановилась, перезагрузка - ВУАЛЯ! Нет черного экрана, загрузился мой родной Windows =)

 

Теперь хотелось бы узнать что нужно предпринять в первую очередь чтобы найти остатки этой дряни вымогательской?

 

P.S. сейчас скан системы сделаю антивирем, потом 5 минут и будут логи по всем правилам, Sorry, забыл совсем на радостях

Изменено 18 июня, 2011 пользователем SergioPhoenix

[Roman_Five]

сейчас скан системы сделаю антивирем, потом 5 минут

до сих пор идёт проверка?

[SergioPhoenix]

до сих пор идёт проверка?

вы не поверите, Dr web после обновления(спустя 4 дня) удивл: проверил за 2 ч. 35 мин. только 12 процентов, отменил пока, быструю проверку онлайн сканером и логи)

 

логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 18 июня, 2011 пользователем SergioPhoenix

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application data\*.exe','Locker');
DeleteFileMask('C:\Documents and Settings\All Users\Application data\ ','*.exe ',false ,' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O3 - Toolbar: (no name) - {7778AA60-698A-41D9-9BF0-7AB41045AA7F} - (no file)

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- DrWeb.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[SEcrash63]

диспетчер задач работает? у меня был такой вирус, пришлось заменять файлы userinit и taskmgr.exe.. ,были вредоносными... из них постоянно загружасля файл 22CC6C32.exe пока не замел их с рабочей винды..

[SergioPhoenix]

выше читайте - все уже) не работал ни диспетчер ни вообще загрузка после удаления этого файла) откатом системы через безопасник решил проблему.

 

лог свыслал

Mbam удивил, если не учитывать его ругань в адрес всяких кряков ит.п - то вот в папках System32 и в system volume information есть подозрения что что-то не так

mbam_log_2011_06_19__14_23_46_.txt

[Roman_Five]

Эти файлы проверьте на virustotal.com

c:\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> No action taken.
c:\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> No action taken.
c:\Phx_data\Res\RICO.exe (Backdoor.Bot) -> No action taken.
c:\Phx_data\Res\ss.exe (Backdoor.Bot) -> No action taken.

4 ссылки на результаты проверок приложите.

 

Удалите в MBAM:

Зараженные папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
c:\documents and settings\all users\главное меню\программы\Spycheck (Rogue.SpycheckAntiSpyware) -> No action taken.
c:\documents and settings\all users\главное меню\программы\Spycheck\spycheck antispyware (Rogue.SpycheckAntiSpyware) -> No action taken.

Зараженные файлы:
c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken.
c:\system volume information\_restore{3015d321-e524-4513-affe-ee643e3eacac}\RP107\A0043555.exe (Trojan.FakeMS) -> No action taken.
c:\system volume information\_restore{3015d321-e524-4513-affe-ee643e3eacac}\RP107\A0043738.exe (Trojan.FakeMS) -> No action taken.
d:\system volume information\_restore{3015d321-e524-4513-affe-ee643e3eacac}\RP110\A0046366.exe (RiskWare.Tool.CK) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

Кряки можете сами проверить на virustotal. если Вам не понравится результат - удаляйте в MBAM.

[SergioPhoenix]

результаты:

c:\Phx_data\Res\EmuCfg.exe http://www.virustotal.com/file-scan/reanal...0661-1308507534

 

c:\Phx_data\Res\GCFMgr.exe http://www.virustotal.com/file-scan/reanal...bf71-1308508002

 

c:\Phx_data\Res\RICO.exe http://www.virustotal.com/file-scan/reanal...948c-1308508051

 

c:\Phx_data\Res\ss.exe http://www.virustotal.com/file-scan/reanal...a42a-1308507684

 

 

те, которые надо было удалить - удалил (потом правда mbam попросил перезагрузиться, после чего система 2 раза вылетела сразу после загрузки рабочего стола - но потом вроде запустилась.... не знаю с чем связано)

Лог:

mbam_log_2011_06_19__22_20_18_.txt

[Roman_Five]

c:\Phx_data\

а что вообще в этой папке? если вам оно надо - то всё ок. если нет - можно удалить.

 

деинсталлируйте MBAM

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)