Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Помогите. Какая-то дрянь. Вот логи.

jesusx
 Поделиться

Рекомендуемые сообщения

jesusx

jesusx

Опубликовано
Опубликовано

Подхватил нешто. На сайте estudy.ru

Раньше я сам лечил вирусы без проблем, но это что-то действительно серьезное.

Облазил кучу форумов и вычистил, что мог, но помоему, что-то осталось.

Из симптомов:

• некоторые гиперссылки, например в поисковой выдаче, заменяются на search.thebestwebsearch.net/*

• не устанавливается программа, которая раньше ставилась без проблем: говорит - нет места на диске, хотя места валом

• винда не переустанавливается, не может скопировать некоторые файлы

Помогите, плиз. Вот логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано (изменено)

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys

C:\WINDOWS\system32\winhelp32.exe

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

Пофиксить в HijackThis следующие строчки 

O4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);QuarantineFile('C:\WINDOWS\system32\drivers\fwdrv.sys','');DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');DeleteFile('C:\WINDOWS\system32\winhelp32.exe');DeleteService('VIDEO');RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи.

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
jesusx

jesusx

Опубликовано
  • Автор
Опубликовано

Спасибо большое!

Архив отправил.

Вот новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
jesusx

jesusx

Опубликовано
  • Автор
Опубликовано

Теперь программы не устанавливаются:

InstallShield выдает ошибку 1606: Could not acess to network location %ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано

Давайте так....

Проверьте ветки реестра и если необходимо имените содержимое

Чтобы это исправить, зайдите в regedit,

откройте ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\User Shell Folders

и измените значение параметра "Common Startup" на стандартное "%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка".

Потом зайдите в ключ реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\User Shell Folders

измените значение параметра "Startup" на стандартное "%USERPROFILE%\Главное меню\Программы\Автозагрузка"

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(6);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Ссылка на комментарий
Поделиться на другие сайты
jesusx

jesusx

Опубликовано
  • Автор
Опубликовано

Значения параметров "Common Startup" и "Startup" были стандартные, а вот тип значения был REG_SZ, я поменял на REG_EXPAND_SZ

Repare-скрипт не понадобился.

Программы начали устанавливаться.

Но осталась проблема подмены ссылок:

"• некоторые гиперссылки, например в поисковой выдаче, заменяются на search.thebestwebsearch.net/*"

помоему ссылки подменяются только в результатах поиска на поисковиках

Ссылка на комментарий
Поделиться на другие сайты
jesusx

jesusx

Опубликовано
  • Автор
Опубликовано

Очевидно проблема устранена.

А мне мои "специалисты" предлагали винт форматировать :D

Спасибо за помощь! Ваш сайт - рулит!

Ссылка на комментарий
Поделиться на другие сайты
jesusx

jesusx

Опубликовано
  • Автор
Опубликовано

Проблема подмены ссылок обнаружена только в результатах поиска Яндекса (браузер Firefox3).

В IE 6 с накладкой AvanBrowser проблемы подмены не обнаружено.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...