SergioPhoenix Опубликовано 18 июня, 2011 Автор Опубликовано 18 июня, 2011 писать без раздела, без папки, просто explorer.exe ? Ну я именно так и написал в параметрах кода shell , но тут не то что рабочий стол не грузится, тут даже окно загрузчика винды не появляется (там где бегущая полоска еще ). Попробую как смогу заменить юзеринит, . . и еще, все ли у меня в порядке с Appinit_DLLs ?
Roman_Five Опубликовано 18 июня, 2011 Опубликовано 18 июня, 2011 все ли у меня в порядке с Appinit_DLLs ? а как мы узнаем, если Вы не приложили значения. Попробую как смогу заменить юзеринит, о результате отпишитесь
SergioPhoenix Опубликовано 18 июня, 2011 Автор Опубликовано 18 июня, 2011 ну как же? , на предидущей странице написал значение этого кода, сразу как просили.
thyrex Опубликовано 18 июня, 2011 Опубликовано 18 июня, 2011 Вы еще на скольких форумах создали тему по своей проблеме? На оффоруме вроде была, в 911 тоже
SergioPhoenix Опубликовано 18 июня, 2011 Автор Опубликовано 18 июня, 2011 извиняйте. Уже 4 дня система стоит, думал так быстрее решение найду . . Понятия не имел, что эти форумы связаны между собой. Хорошо буду в 911 консультироваться)) в 911 посоветовали восстановить файл explorer.exe , как это сделать? В систему войти все еще не могу, все манипуляции сделал - теперь просто черный экран висит. Диспетчер задач не пашит. Есть avz на флешке, в erd commander зашел, запустил авз, файл - восстановление системы, почему-то только галочки - а описания пунктов нет, возможно баг erd commandera , так что отметил все пункты - нажал восстановить, перезапустился - винт все равно не грузится. . .
Roman_Five Опубликовано 18 июня, 2011 Опубликовано 18 июня, 2011 в 911 посоветовали восстановить файл explorer.exe , как это сделать? с дистрибутива http://virusinfo.info/showthread.php?t=51654
SergioPhoenix Опубликовано 18 июня, 2011 Автор Опубликовано 18 июня, 2011 (изменено) в общем СПАСИБО всем огромное, я закрыл заявку на 911, баннер убит Теперь поподробнее, т.к. нужна консультация по поводу того как добить остатки баннера. И так: после замены файлов taskmgr.exe и userinit.exe в систему войти все еще не получалось - что-то не так было с explorer.exe видимо - я так до конца и не понял что, был прост очерный экран вместо загрузки системы. Теперь чуть-чуть ясности - (у меня на системе не запускается по-нормальному (через f8) безопасный режим, или окно выбора вариантов загрузки - как удодно. F8 - у меня это выбор дисков от floppy и до cd/dvd, окно выбора вариантов загрузки запускается как-то спонтанно только если: в системе 2 операционки, или произошла критическая ошибка. Т.к. я не мог войти в Windows - реши лпопробовать поставить вторую операционку и взять из неё этот файл - explorer.exe. Потом вспомнил про эту непонятку с загрузкой безопасного режима - отменил установку - но она была уже начата. Итог: у меня есть экран выбора операционных систем и ариантов их загрузки =))) Зашел в безопасник. (кстати так и не пойму как самому можно открыть окно выбора вариантов загрузки?)) В безопасном режиме с поддержкой командной строки выбрал восстановление системы, дату - 10 июня. Восстановилась, перезагрузка - ВУАЛЯ! Нет черного экрана, загрузился мой родной Windows =) Теперь хотелось бы узнать что нужно предпринять в первую очередь чтобы найти остатки этой дряни вымогательской? P.S. сейчас скан системы сделаю антивирем, потом 5 минут и будут логи по всем правилам, Sorry, забыл совсем на радостях Изменено 18 июня, 2011 пользователем SergioPhoenix
Roman_Five Опубликовано 18 июня, 2011 Опубликовано 18 июня, 2011 сейчас скан системы сделаю антивирем, потом 5 минут до сих пор идёт проверка?
SergioPhoenix Опубликовано 18 июня, 2011 Автор Опубликовано 18 июня, 2011 (изменено) до сих пор идёт проверка? вы не поверите, Dr web после обновления(спустя 4 дня) удивл: проверил за 2 ч. 35 мин. только 12 процентов, отменил пока, быструю проверку онлайн сканером и логи) логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 18 июня, 2011 пользователем SergioPhoenix
Roman_Five Опубликовано 19 июня, 2011 Опубликовано 19 июня, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application data\*.exe','Locker'); DeleteFileMask('C:\Documents and Settings\All Users\Application data\ ','*.exe ',false ,' '); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O3 - Toolbar: (no name) - {7778AA60-698A-41D9-9BF0-7AB41045AA7F} - (no file) Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой: - DrWeb. Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. После проведённого лечения рекомендуется установить следующие обновления: - все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению.
SEcrash63 Опубликовано 19 июня, 2011 Опубликовано 19 июня, 2011 диспетчер задач работает? у меня был такой вирус, пришлось заменять файлы userinit и taskmgr.exe.. ,были вредоносными... из них постоянно загружасля файл 22CC6C32.exe пока не замел их с рабочей винды..
SergioPhoenix Опубликовано 19 июня, 2011 Автор Опубликовано 19 июня, 2011 выше читайте - все уже) не работал ни диспетчер ни вообще загрузка после удаления этого файла) откатом системы через безопасник решил проблему. лог свыслал Mbam удивил, если не учитывать его ругань в адрес всяких кряков ит.п - то вот в папках System32 и в system volume information есть подозрения что что-то не так mbam_log_2011_06_19__14_23_46_.txt
Roman_Five Опубликовано 19 июня, 2011 Опубликовано 19 июня, 2011 Эти файлы проверьте на virustotal.com c:\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> No action taken. c:\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> No action taken. c:\Phx_data\Res\RICO.exe (Backdoor.Bot) -> No action taken. c:\Phx_data\Res\ss.exe (Backdoor.Bot) -> No action taken. 4 ссылки на результаты проверок приложите. Удалите в MBAM: Зараженные папки: c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken. c:\documents and settings\all users\главное меню\программы\Spycheck (Rogue.SpycheckAntiSpyware) -> No action taken. c:\documents and settings\all users\главное меню\программы\Spycheck\spycheck antispyware (Rogue.SpycheckAntiSpyware) -> No action taken. Зараженные файлы: c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken. c:\system volume information\_restore{3015d321-e524-4513-affe-ee643e3eacac}\RP107\A0043555.exe (Trojan.FakeMS) -> No action taken. c:\system volume information\_restore{3015d321-e524-4513-affe-ee643e3eacac}\RP107\A0043738.exe (Trojan.FakeMS) -> No action taken. d:\system volume information\_restore{3015d321-e524-4513-affe-ee643e3eacac}\RP110\A0046366.exe (RiskWare.Tool.CK) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Кряки можете сами проверить на virustotal. если Вам не понравится результат - удаляйте в MBAM.
SergioPhoenix Опубликовано 19 июня, 2011 Автор Опубликовано 19 июня, 2011 результаты: c:\Phx_data\Res\EmuCfg.exe http://www.virustotal.com/file-scan/reanal...0661-1308507534 c:\Phx_data\Res\GCFMgr.exe http://www.virustotal.com/file-scan/reanal...bf71-1308508002 c:\Phx_data\Res\RICO.exe http://www.virustotal.com/file-scan/reanal...948c-1308508051 c:\Phx_data\Res\ss.exe http://www.virustotal.com/file-scan/reanal...a42a-1308507684 те, которые надо было удалить - удалил (потом правда mbam попросил перезагрузиться, после чего система 2 раза вылетела сразу после загрузки рабочего стола - но потом вроде запустилась.... не знаю с чем связано) Лог: mbam_log_2011_06_19__22_20_18_.txt
Roman_Five Опубликовано 19 июня, 2011 Опубликовано 19 июня, 2011 c:\Phx_data\ а что вообще в этой папке? если вам оно надо - то всё ок. если нет - можно удалить. деинсталлируйте MBAM После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти