Проблемы с windows. Помогите

[Evilmonstre]

Помогите пожалуйста. Когда вкл компьютер у меня все загружается, а когда должен открыться рабочий стол там черый экран. Я пробовал перезагружать компьтер бесполезно. Вот щас зашел в безопасном режиме с поддержкой сетевый драйверов. Все норм! Подскажите что делать может это вирус? ЗА ранее спасибо

 

Сообщение от модератора vasdas

Тема перемещена из "Компьютерной помощи".

[Roman_Five]

Подскажите что делать может это вирус?

возможно.

выполните в безопасном режиме правила раздела "Уничтожение вирусов" и приложите 3 лога

[Evilmonstre]

возможно.

выполните в безопасном режиме правила раздела "Уничтожение вирусов" и приложите 3 лога

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Пофиксите в Hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)

 

Проверьте на virustotal.com следующие файлы:

C:\Program Files\Vkbag.Ru Software\MVT-Bot - Многофункциональный бот для Тюряги ВКонтакте\MVT-Bot v7.1.exe
C:\Program Files\sXe Injected\ddsxei.sys
C:\Program Files\RJ TextEd\rjshell.dll

3 ссылки на результат проверки приложите.

 

чуть позднее будут ещё рекомендации.

 

а если в обычном режиме нажать Win+R и там набрать explorer - рабочий стол появляется?

[Evilmonstre]

а если в обычном режиме нажать Win+R и там набрать explorer - рабочий стол появляется?

Сейячас попробую, я попробовал у меня ни чего не вылезает. У меня какбы не совсем черный экран немного сероватый и можно водить мышкой и все.

 

Пофиксите в Hijackthis:

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)

O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)

O3 - Toolbar: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)

O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)

O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)

 

 

Проверьте на virustotal.com следующие файлы:

Код

C:\Program Files\Vkbag.Ru Software\MVT-Bot - Многофункциональный бот для Тюряги ВКонтакте\MVT-Bot v7.1.exe

C:\Program Files\sXe Injected\ddsxei.sys

C:\Program Files\RJ TextEd\rjshell.dll

 

3 ссылки на результат проверки приложите.

объясните поподробнее что и как сделать пожалуйста.

Изменено 31 августа, 2011 пользователем Evilmonstre

[Roman_Five]

http://forum.kasperskyclub.ru/index.php?showtopic=7607 - как фиксить

 

В безопасном режиме запустите редакор реестра (Win+R - regedit)

в реестре Вашего компьютера поищите в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

этот параметр

userinit

и этот

shell

приложите результат в новом сообщении

[Evilmonstre]

Вот сылки:

1.http://www.virustotal.com/file-scan/report.html?id=c96d8aac597305c669434ae8773e7b343373e84c1aba39a253ac3ceeb6a4913f-1314776135

2.А папки у меня такой нету. Я пробовал показать скрытые все равно нету

3.http://www.virustotal.com/file-scan/report.html?id=3af35065ab2e167e3a2f88082a0c66f9c7403650e30d1d305caf5b925a322e38-1300212420

[reWalls]

У меня кстати такая проблема была... Но я просто напросто переустановил ОС

 

Строгое предупреждение от модератора vasdas

Воздержитесь от подобных рекомендаций в этом разделе, изучите правила.

[Roman_Five]

Evilmonstre,

будем править реестр.

 

в реестре Вашего компьютера в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

этот параметр

userinit

 

должен быть таким:

C:\windows\system32\userinit.exe,

с запятой на конце!

 

в обычном режиме повторите логи.

 

 

 

reWalls,

совет вреден

[Evilmonstre]

Извените что так долго. Спасибо за помощь компьютер вкл в нормальном режиме.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\user\appdata\lsass.exe','');
QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys','');
QuarantineFile('C:\Program Files\Vkbag.Ru Software\C:\Program Files\Vkbag.Ru Software\MVT-Bot - Многофункциональный бот для Тюряги ВКонтакте\MVT-Bot v7.1.exe','');
DeleteFile('C:\Users\user\appdata\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Evilmonstre]

вот

license.txt

[Roman_Five]

Сделайте новые логи по правилам.

Evilmonstre, забыли?

[thyrex]

Удалите в МВАМ только указанные строки

c:\$Recycle.Bin\s-1-5-21-2458750907-976897597-1275410759-1000\$RMKJCC6.exe (Trojan.Agent) -> No action taken.
c:\Users\user\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\R9XN3PUT\contacts[1].exe (Trojan.Agent) -> No action taken.
c:\Users\user\AppData\Local\Temp\wpbt0.dll (Exploit.Drop) -> No action taken.

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('c:\$Recycle.Bin\s-1-5-21-2458750907-976897597-1275410759-1000\$RMKJCC6.exe',' ');
QuarantineFile('c:\program files\vkbag.ru software\mvt-bot - многофункциональный бот для тюряги вконтакте\mvt-bot v7.1.exe',' ');
QuarantineFile('c:\program files\vkbag.ru software\mvt-bot - многофункциональный бот для тюряги вконтакте\mvt-bot v7.2.exe',' ');
QuarantineFile('c:\Users\user\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\R9XN3PUT\contacts[1].exe',' ');
QuarantineFile('c:\Users\user\AppData\Local\Temp\sender\project.exe',' ');
QuarantineFile('c:\Users\user\Desktop\новая папка (3)\9v odnaklasniki\9v odnaklasniki.exe',' ');
QuarantineFile('c:\Users\user\Desktop\Рустам\программы\bnetgatewayeditor.exe',' ');
QuarantineFile('c:\Users\user\Desktop\Рустам\программы\vkbot\VkBot.exe',' ');
QuarantineFile('c:\Users\user\AppData\Local\Temp\wpbt0.dll',' ');
QuarantineFile('c:\program files\php devel studio 2.0 beta\soulengine.exe.small',' ');
QuarantineFile('c:\Users\user\Desktop\Рустам\Шняга\8878\project.exe',' ');
QuarantineFile('c:\Users\user\Desktop\стикер\Project.exe',' ');
QuarantineFile('c:\Users\user\documents\develstudio\project10\Project.exe',' ');
QuarantineFile('c:\Users\user\documents\develstudio\project11\Project.exe',' ');
QuarantineFile('c:\Users\user\documents\develstudio\project16\Project.exe',' ');
QuarantineFile('c:\Users\user\documents\develstudio\Project4\Project.exe',' ');
QuarantineFile('c:\Users\user\documents\develstudio\Project8\Кристалы.exe',' ');
QuarantineFile('c:\Users\user\downloads\фейк\project.exe',' ');
QuarantineFile('d:\Games\garry'+ Chr(39) +'s mod the revolution 2\bin\steamclient.dll',' ');
QuarantineFile('d:\Games\L4D2\bin\steamclient.dll',' ');
QuarantineFile('d:\Games\lineage_ii_int_la2world\system\l2ui.dll',' ');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Изменено 1 сентября, 2011 пользователем Roman_Five