Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Помогите. Какая-то дрянь. Вот логи.

jesusx
 Поделиться

Рекомендуемые сообщения

jesusx

jesusx

Опубликовано
Опубликовано

Подхватил нешто. На сайте estudy.ru

Раньше я сам лечил вирусы без проблем, но это что-то действительно серьезное.

Облазил кучу форумов и вычистил, что мог, но помоему, что-то осталось.

Из симптомов:

• некоторые гиперссылки, например в поисковой выдаче, заменяются на search.thebestwebsearch.net/*

• не устанавливается программа, которая раньше ставилась без проблем: говорит - нет места на диске, хотя места валом

• винда не переустанавливается, не может скопировать некоторые файлы

Помогите, плиз. Вот логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано (изменено)

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys

C:\WINDOWS\system32\winhelp32.exe

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

Пофиксить в HijackThis следующие строчки 

O4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);QuarantineFile('C:\WINDOWS\system32\drivers\fwdrv.sys','');DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');DeleteFile('C:\WINDOWS\system32\winhelp32.exe');DeleteService('VIDEO');RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи.

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
jesusx

jesusx

Опубликовано
  • Автор
Опубликовано

Спасибо большое!

Архив отправил.

Вот новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
jesusx

jesusx

Опубликовано
  • Автор
Опубликовано

Теперь программы не устанавливаются:

InstallShield выдает ошибку 1606: Could not acess to network location %ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано

Давайте так....

Проверьте ветки реестра и если необходимо имените содержимое

Чтобы это исправить, зайдите в regedit,

откройте ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\User Shell Folders

и измените значение параметра "Common Startup" на стандартное "%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка".

Потом зайдите в ключ реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\User Shell Folders

измените значение параметра "Startup" на стандартное "%USERPROFILE%\Главное меню\Программы\Автозагрузка"

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(6);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Ссылка на комментарий
Поделиться на другие сайты
jesusx

jesusx

Опубликовано
  • Автор
Опубликовано

Значения параметров "Common Startup" и "Startup" были стандартные, а вот тип значения был REG_SZ, я поменял на REG_EXPAND_SZ

Repare-скрипт не понадобился.

Программы начали устанавливаться.

Но осталась проблема подмены ссылок:

"• некоторые гиперссылки, например в поисковой выдаче, заменяются на search.thebestwebsearch.net/*"

помоему ссылки подменяются только в результатах поиска на поисковиках

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано

AVZ - файл - востановление системы - Выбрать 2,3,4 и нажать выполнить.

Ссылка на комментарий
Поделиться на другие сайты
jesusx

jesusx

Опубликовано
  • Автор
Опубликовано

Очевидно проблема устранена.

А мне мои "специалисты" предлагали винт форматировать :D

Спасибо за помощь! Ваш сайт - рулит!

Ссылка на комментарий
Поделиться на другие сайты
jesusx

jesusx

Опубликовано
  • Автор
Опубликовано

Проблема подмены ссылок обнаружена только в результатах поиска Яндекса (браузер Firefox3).

В IE 6 с накладкой AvanBrowser проблемы подмены не обнаружено.

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...