Решена опять вирус

Статус
В этой теме нельзя размещать новые ответы.
я закрыла и открыла реестр, значение юзеринит опять

Код:
C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\122c6391.exe,C:\WINDOWS\system32\kchvjt.exe,

имеет ли смысл перегружаться?
 
Код:
C:\WINDOWS\system32\122c6391.exe,
C:\WINDOWS\system32\kchvjt.exe,
вы их удалили из папки систем32?
При редактировании сохраняли значения параметра на ОК?
Пробуйте скачать какую-нибудь из утилит - получится?
 
удалила, ок нажимала), скачала утилиту,но она при запуске сразу закрывается

кстати.. при измененном значении на C:\WINDOWS\System32\userinit.exe, я нажимаю на параметр юзеринит пкм "изменить" а там
Код:
C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\122c6391.exe,C:\WINDOWS\system32\kchvjt.exe,
это нормально? получается, не запоминает изменения реестр
 
Последнее редактирование:
Gmer пошел, выложу лог,как закончит проверку
 
Комбофикс скачать не получилось
 
хм странно, вообще ни по одной ссылке при поиске в сети??
нажмите пуск выполнить в обзоре найдите AVZ выберете его, далее в строке допишите или скопируйте вставьте (через пробел) AM=Y и нажмите ок, так должно запуститься, дальше по инструкции, обновить сделать логи, не сможете обновить делайте лог пока так..
 
логи
 

Вложения

  • hijackthis1.txt
    10.3 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    25.6 KB · Просмотры: 2
  • virusinfo_syscure.zip
    33.2 KB · Просмотры: 2
  • gmer1.log
    162.5 KB · Просмотры: 6
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\122c6391.exe','');
 QuarantineFile('c:\windows\system32\kchvjt.exe','');
 DeleteFile('c:\windows\system32\122c6391.exe');
 DeleteFile('c:\windows\system32\kchvjt.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы.

Повторите логи.
 
архив карантина отослан
новые логи

У меня вопрос о мазиле. При запуске она загружает последние посещаемые страницы. Боюсь запускать, опять подцеплю эту заразу. чем почистить?
 

Вложения

  • virusinfo_syscheck.zip
    25.4 KB · Просмотры: 1
  • virusinfo_syscure.zip
    25.5 KB · Просмотры: 2
Последнее редактирование:
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('BT',2,2,true);
ExecuteWizard('PRT',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

+

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 
лог комбофикса
 

Вложения

  • комбо.лог.txt
    33.2 KB · Просмотры: 3
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KILLALL::
Fcopy::
c:\windows\system32\dllcache\tcpip.sys | c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\dllcache\tcpip.sys | c:\windows\SoftwareDistribution\Download\e6ee13bab691afad01f3e7fa891e3f3d\tcpip.sys
c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll | c:\windows\system32\netlogon.dll
c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll | c:\windows\system32\dllcache\netlogon.dll
c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll | c:\windows\SoftwareDistribution\Download\e6ee13bab691afad01f3e7fa891e3f3d\netlogon.dll
File::
c:\windows\system32\e9c6955b.exe
c:\program files\Common Files\jqyrg4inedzz13m
c:\windows\ssystda.dat
Folder::
c:\program files\Common Files\4b8ef05
Fixcset::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Заархивируйте папку Quarantine - C:\Qoobox\Quarantine и укажите пароль - virus, отошлите на почту - mytonev@gmail.com

Что происходит сейчас с вашими проблемами...?

Добавлено через 36 минут 28 секунд
И другое дело:
Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена....Установите SP3 (может потребоваться активация) + все новые обновления
 
карантин отправила.
Мазила запустилась с новой сессии, работает великолепно).

Спасибо огромное всем, кто помогал лечению :). Еще раз убеждаюсь в актуальности ресурса и мастерстве команды. Огромное спасибо еще раз от нас с компом :)
 

Вложения

  • комбо1.txt
    33.7 KB · Просмотры: 1
Последнее редактирование:
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine<at>safezone.cc с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
combofix-uninstall.jpg


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Добавлено через 3 часа 1 минуту 6 секунд
В карантине:
e9c6955b.exe - BackDoor.Siggen.26751 (Backdoor.Win32.Shiz.ace)

Остальное в процессе анализа.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу