jesusx Опубликовано 17 августа, 2008 Жалоба Поделиться Опубликовано 17 августа, 2008 Подхватил нешто. На сайте estudy.ru Раньше я сам лечил вирусы без проблем, но это что-то действительно серьезное. Облазил кучу форумов и вычистил, что мог, но помоему, что-то осталось. Из симптомов: • некоторые гиперссылки, например в поисковой выдаче, заменяются на search.thebestwebsearch.net/* • не устанавливается программа, которая раньше ставилась без проблем: говорит - нет места на диске, хотя места валом • винда не переустанавливается, не может скопировать некоторые файлы Помогите, плиз. Вот логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 августа, 2008 Жалоба Поделиться Опубликовано 17 августа, 2008 (изменено) Скачайте Icesword Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита: C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys C:\WINDOWS\system32\winhelp32.exe Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Перезагрузите компьютер. Пофиксить в HijackThis следующие строчки O4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);QuarantineFile('C:\WINDOWS\system32\drivers\fwdrv.sys','');DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');DeleteFile('C:\WINDOWS\system32\winhelp32.exe');DeleteService('VIDEO');RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Повторите логи. Изменено 17 августа, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jesusx Опубликовано 18 августа, 2008 Автор Жалоба Поделиться Опубликовано 18 августа, 2008 Спасибо большое! Архив отправил. Вот новые логи: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jesusx Опубликовано 18 августа, 2008 Автор Жалоба Поделиться Опубликовано 18 августа, 2008 Теперь программы не устанавливаются: InstallShield выдает ошибку 1606: Could not acess to network location %ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 августа, 2008 Жалоба Поделиться Опубликовано 18 августа, 2008 Давайте так.... Проверьте ветки реестра и если необходимо имените содержимое Чтобы это исправить, зайдите в regedit,откройте ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\User Shell Folders и измените значение параметра "Common Startup" на стандартное "%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка". Потом зайдите в ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\User Shell Folders измените значение параметра "Startup" на стандартное "%USERPROFILE%\Главное меню\Программы\Автозагрузка" AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginExecuteRepair(6);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jesusx Опубликовано 18 августа, 2008 Автор Жалоба Поделиться Опубликовано 18 августа, 2008 Значения параметров "Common Startup" и "Startup" были стандартные, а вот тип значения был REG_SZ, я поменял на REG_EXPAND_SZ Repare-скрипт не понадобился. Программы начали устанавливаться. Но осталась проблема подмены ссылок: "• некоторые гиперссылки, например в поисковой выдаче, заменяются на search.thebestwebsearch.net/*" помоему ссылки подменяются только в результатах поиска на поисковиках Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 августа, 2008 Жалоба Поделиться Опубликовано 18 августа, 2008 AVZ - файл - востановление системы - Выбрать 2,3,4 и нажать выполнить. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jesusx Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 Очевидно проблема устранена. А мне мои "специалисты" предлагали винт форматировать :D Спасибо за помощь! Ваш сайт - рулит! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jesusx Опубликовано 19 августа, 2008 Автор Жалоба Поделиться Опубликовано 19 августа, 2008 :) ПРОБЛЕМА ПОДМЕНЫ ССЫЛОК ОСТАЛАСЬ. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 Давайте новый комплект логов... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jesusx Опубликовано 22 августа, 2008 Автор Жалоба Поделиться Опубликовано 22 августа, 2008 Вот... virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jesusx Опубликовано 22 августа, 2008 Автор Жалоба Поделиться Опубликовано 22 августа, 2008 Проблема подмены ссылок обнаружена только в результатах поиска Яндекса (браузер Firefox3). В IE 6 с накладкой AvanBrowser проблемы подмены не обнаружено. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
disabled Опубликовано 22 августа, 2008 Жалоба Поделиться Опубликовано 22 августа, 2008 Переустанови Firefox, и перед установкой снеси всю его папку с плагинами. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 августа, 2008 Жалоба Поделиться Опубликовано 22 августа, 2008 В логах не вижу ничего вредоносного. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.