Evilmonstre Опубликовано 31 августа, 2011 Опубликовано 31 августа, 2011 Помогите пожалуйста. Когда вкл компьютер у меня все загружается, а когда должен открыться рабочий стол там черый экран. Я пробовал перезагружать компьтер бесполезно. Вот щас зашел в безопасном режиме с поддержкой сетевый драйверов. Все норм! Подскажите что делать может это вирус? ЗА ранее спасибо Сообщение от модератора vasdas Тема перемещена из "Компьютерной помощи".
Roman_Five Опубликовано 31 августа, 2011 Опубликовано 31 августа, 2011 Подскажите что делать может это вирус? возможно. выполните в безопасном режиме правила раздела "Уничтожение вирусов" и приложите 3 лога
Evilmonstre Опубликовано 31 августа, 2011 Автор Опубликовано 31 августа, 2011 возможно.выполните в безопасном режиме правила раздела "Уничтожение вирусов" и приложите 3 лога hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
Roman_Five Опубликовано 31 августа, 2011 Опубликовано 31 августа, 2011 Пофиксите в Hijackthis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file) O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file) O3 - Toolbar: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) Проверьте на virustotal.com следующие файлы: C:\Program Files\Vkbag.Ru Software\MVT-Bot - Многофункциональный бот для Тюряги ВКонтакте\MVT-Bot v7.1.exe C:\Program Files\sXe Injected\ddsxei.sys C:\Program Files\RJ TextEd\rjshell.dll 3 ссылки на результат проверки приложите. чуть позднее будут ещё рекомендации. а если в обычном режиме нажать Win+R и там набрать explorer - рабочий стол появляется?
Evilmonstre Опубликовано 31 августа, 2011 Автор Опубликовано 31 августа, 2011 (изменено) а если в обычном режиме нажать Win+R и там набрать explorer - рабочий стол появляется? Сейячас попробую, я попробовал у меня ни чего не вылезает. У меня какбы не совсем черный экран немного сероватый и можно водить мышкой и все. Пофиксите в Hijackthis:Код R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file) O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file) O3 - Toolbar: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) Проверьте на virustotal.com следующие файлы: Код C:\Program Files\Vkbag.Ru Software\MVT-Bot - Многофункциональный бот для Тюряги ВКонтакте\MVT-Bot v7.1.exe C:\Program Files\sXe Injected\ddsxei.sys C:\Program Files\RJ TextEd\rjshell.dll 3 ссылки на результат проверки приложите. объясните поподробнее что и как сделать пожалуйста. Изменено 31 августа, 2011 пользователем Evilmonstre
Roman_Five Опубликовано 31 августа, 2011 Опубликовано 31 августа, 2011 http://forum.kasperskyclub.ru/index.php?showtopic=7607 - как фиксить В безопасном режиме запустите редакор реестра (Win+R - regedit) в реестре Вашего компьютера поищите в ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon этот параметр userinit и этот shell приложите результат в новом сообщении
Evilmonstre Опубликовано 31 августа, 2011 Автор Опубликовано 31 августа, 2011 Вот сылки: 1.http://www.virustotal.com/file-scan/report.html?id=c96d8aac597305c669434ae8773e7b343373e84c1aba39a253ac3ceeb6a4913f-1314776135 2.А папки у меня такой нету. Я пробовал показать скрытые все равно нету 3.http://www.virustotal.com/file-scan/report.html?id=3af35065ab2e167e3a2f88082a0c66f9c7403650e30d1d305caf5b925a322e38-1300212420
reWalls Опубликовано 31 августа, 2011 Опубликовано 31 августа, 2011 У меня кстати такая проблема была... Но я просто напросто переустановил ОС Строгое предупреждение от модератора vasdas Воздержитесь от подобных рекомендаций в этом разделе, изучите правила.
Roman_Five Опубликовано 31 августа, 2011 Опубликовано 31 августа, 2011 Evilmonstre, будем править реестр. в реестре Вашего компьютера в ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon этот параметр userinit должен быть таким: C:\windows\system32\userinit.exe, с запятой на конце! в обычном режиме повторите логи. reWalls, совет вреден
Evilmonstre Опубликовано 31 августа, 2011 Автор Опубликовано 31 августа, 2011 Извените что так долго. Спасибо за помощь компьютер вкл в нормальном режиме. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
Roman_Five Опубликовано 31 августа, 2011 Опубликовано 31 августа, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Users\user\appdata\lsass.exe',''); QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys',''); QuarantineFile('C:\Program Files\Vkbag.Ru Software\C:\Program Files\Vkbag.Ru Software\MVT-Bot - Многофункциональный бот для Тюряги ВКонтакте\MVT-Bot v7.1.exe',''); DeleteFile('C:\Users\user\appdata\lsass.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file) После проведённого лечения рекомендуется: - установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows) * выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64 - обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению.
Roman_Five Опубликовано 1 сентября, 2011 Опубликовано 1 сентября, 2011 Сделайте новые логи по правилам. Evilmonstre, забыли?
thyrex Опубликовано 1 сентября, 2011 Опубликовано 1 сентября, 2011 Удалите в МВАМ только указанные строки c:\$Recycle.Bin\s-1-5-21-2458750907-976897597-1275410759-1000\$RMKJCC6.exe (Trojan.Agent) -> No action taken. c:\Users\user\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\R9XN3PUT\contacts[1].exe (Trojan.Agent) -> No action taken. c:\Users\user\AppData\Local\Temp\wpbt0.dll (Exploit.Drop) -> No action taken.
Roman_Five Опубликовано 1 сентября, 2011 Опубликовано 1 сентября, 2011 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; QuarantineFile('c:\$Recycle.Bin\s-1-5-21-2458750907-976897597-1275410759-1000\$RMKJCC6.exe',' '); QuarantineFile('c:\program files\vkbag.ru software\mvt-bot - многофункциональный бот для тюряги вконтакте\mvt-bot v7.1.exe',' '); QuarantineFile('c:\program files\vkbag.ru software\mvt-bot - многофункциональный бот для тюряги вконтакте\mvt-bot v7.2.exe',' '); QuarantineFile('c:\Users\user\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\R9XN3PUT\contacts[1].exe',' '); QuarantineFile('c:\Users\user\AppData\Local\Temp\sender\project.exe',' '); QuarantineFile('c:\Users\user\Desktop\новая папка (3)\9v odnaklasniki\9v odnaklasniki.exe',' '); QuarantineFile('c:\Users\user\Desktop\Рустам\программы\bnetgatewayeditor.exe',' '); QuarantineFile('c:\Users\user\Desktop\Рустам\программы\vkbot\VkBot.exe',' '); QuarantineFile('c:\Users\user\AppData\Local\Temp\wpbt0.dll',' '); QuarantineFile('c:\program files\php devel studio 2.0 beta\soulengine.exe.small',' '); QuarantineFile('c:\Users\user\Desktop\Рустам\Шняга\8878\project.exe',' '); QuarantineFile('c:\Users\user\Desktop\стикер\Project.exe',' '); QuarantineFile('c:\Users\user\documents\develstudio\project10\Project.exe',' '); QuarantineFile('c:\Users\user\documents\develstudio\project11\Project.exe',' '); QuarantineFile('c:\Users\user\documents\develstudio\project16\Project.exe',' '); QuarantineFile('c:\Users\user\documents\develstudio\Project4\Project.exe',' '); QuarantineFile('c:\Users\user\documents\develstudio\Project8\Кристалы.exe',' '); QuarantineFile('c:\Users\user\downloads\фейк\project.exe',' '); QuarantineFile('d:\Games\garry'+ Chr(39) +'s mod the revolution 2\bin\steamclient.dll',' '); QuarantineFile('d:\Games\L4D2\bin\steamclient.dll',' '); QuarantineFile('d:\Games\lineage_ii_int_la2world\system\l2ui.dll',' '); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Изменено 1 сентября, 2011 пользователем Roman_Five
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти