Ascania Posted September 11, 2010 Report Share Posted September 11, 2010 Три дня терроризирует вирус. Сначала просто не пускал на сайты дайри и контакт, думала, что просто там проблемы. Потом перестали пускать и на другие сайты. Др Вэб находил что-то, но проблему не решило. теперь не открывается опера с первого раза. говорит, что нет доступа, не открываются некоторые папки, The Ват говорит, что это его первый запуск... Так как ни одна из предложенных программ не запускается, запустила Combofix. Он правда писал что-то про др вэб, но я его отключала. Через некоторое время чудом удалось запусть AVZ, успела сделать только лог № 3, после перезагрузки не запускается. HJT тоже не запускается, на мгновение только. Автоматически Malwarebytes' Anti-Malware обновлять не дает, пишет ошибка код 703. После скачивания обновлений вообще перестает запускаться, ошибка 732. Помогите, пожалуйста. mbam_log_2010_09_11__17_18_13_.rar ComboFix.rar rsit.rar virusinfo_syscure.zip mbam_log_2010_09_11__17_18_13_.rar ComboFix.rar rsit.rar virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
edde Posted September 11, 2010 Report Share Posted September 11, 2010 (edited) Эх зачем же из пушки то по воробьям :) Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Попробуйте сделать логи нормальным авз Edited September 11, 2010 by edde Link to comment Share on other sites More sharing options...
edde Posted September 11, 2010 Report Share Posted September 11, 2010 + Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\docume~1\9f37~1\locals~1\temp\mbr.sys','');QuarantineFile('c:\windows\system32\e9df6d86.exe','');QuarantineFile('c:\windows\system32\f2e8b625.exe','');QuarantineFile('c:\windows\system32\ubkzsv.exe','');DeleteFile('c:\docume~1\9f37~1\locals~1\temp\mbr.sys');DeleteFile('c:\windows\system32\e9df6d86.exe');DeleteFile('c:\windows\system32\f2e8b625.exe');DeleteFile('c:\windows\system32\ubkzsv.exe');RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет создан архив с карантином Карантин с паролем virus вышлите на ящик myedde@mail.ru скачайте ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe проведите проверку Обновите базы Повторите логи Link to comment Share on other sites More sharing options...
Ascania Posted September 11, 2010 Author Report Share Posted September 11, 2010 Да не запускается у меня AVZ!!! Как я все это выполню?? Link to comment Share on other sites More sharing options...
edde Posted September 11, 2010 Report Share Posted September 11, 2010 В безопасном режиме полиморф можете запустить? Link to comment Share on other sites More sharing options...
Ascania Posted September 11, 2010 Author Report Share Posted September 11, 2010 Логи: hijackthis.rar rsit.rar virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar rsit.rar virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
edde Posted September 11, 2010 Report Share Posted September 11, 2010 Что с проблемами? Пофиксить в HJT строки O2 - BHO: eSnipBHO - {B530A9A4-1722-4D16-AAD6-AA85E3AD2ADE} - (no file)R3 - URLSearchHook: (no name) - - (no file)O4 - HKUS\S-1-5-18\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user') Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. И удалите комбофикс, просил же Link to comment Share on other sites More sharing options...
Ascania Posted September 12, 2010 Author Report Share Posted September 12, 2010 А Windows пишет, что не нашел Combofix /Uninstall. Link to comment Share on other sites More sharing options...
Ascania Posted September 12, 2010 Author Report Share Posted September 12, 2010 Автоматически Malwarebytes' Anti-Malware обновлять не дает, сначала пишет ошибка код 703, потом 732. Ссылка ваша на обновления ведет на несуществующую страницу. Базы обновила из ссылки в другой теме, после обновления баз работать программа отказалась. Скачала новую программу. Прилагаю лог. Три из них (найденных)я не удаляю обычно, это от безопасности Виндовз, потом этот щит с крестиком с трее замучает. mbam_log_2010_09_12__10_08_47_.rar mbam_log_2010_09_12__10_08_47_.rar Link to comment Share on other sites More sharing options...
edde Posted September 12, 2010 Report Share Posted September 12, 2010 (edited) выполните скрипт авз beginExecuteRepair(20); RebootWindows(true);end. Компьютер перезагрузится. Должен появиться доступ к антивирусным сайтам и обновлениям. Повторте логи нормальным авз и лог rsit прикрепить не забудьте. Edited September 12, 2010 by edde Link to comment Share on other sites More sharing options...
Ascania Posted September 12, 2010 Author Report Share Posted September 12, 2010 Вот: virusinfo_syscheck.zip virusinfo_syscure.zip rsit.rar virusinfo_syscheck.zip virusinfo_syscure.zip rsit.rar Link to comment Share on other sites More sharing options...
edde Posted September 12, 2010 Report Share Posted September 12, 2010 По логу - чисто. Что с проблемами? Комбофикс так и не удалось удалить? http://oldtimer.geekstogo.com/OTC.exe Link to comment Share on other sites More sharing options...
Ascania Posted September 12, 2010 Author Report Share Posted September 12, 2010 А для чего эта ОТС? Я ж комбофикс запускала с рабочего стола, не устанавливала. А запускающий из закачек исчез после ОТС. Проблемы исчезли, все запускается, все работает, пускают на все сайты. Можно надеяться, что я от вируса избавилась? Огромное спасибо!! Link to comment Share on other sites More sharing options...
edde Posted September 12, 2010 Report Share Posted September 12, 2010 Я ж комбофикс запускала с рабочего стола, не устанавливала. Программа не является резидентной и имеет свой собственный всторенный установщик, поэтому после её использования её надо обязательно деинсталлировать. :) Будьте здоровы. Link to comment Share on other sites More sharing options...
Ascania Posted September 12, 2010 Author Report Share Posted September 12, 2010 Только у меня при выключении компа меню вот такое стало: Как вернуть назад три кнопочки? Scrin.rar Scrin.rar Link to comment Share on other sites More sharing options...
edde Posted September 12, 2010 Report Share Posted September 12, 2010 Пуск->Панель управления-> Учетные записи. "Выбор параметров входа и выхода из системы" поставьте галочку "Использовать страницу приветствия" Link to comment Share on other sites More sharing options...
Ascania Posted September 13, 2010 Author Report Share Posted September 13, 2010 Пуск -> Панель управления -> Учётные записи пользователей -> Изменение входа пользователей в систему -> Выдает: Службы клиента для NetWare выполнили отключение экрана приветствия и быстрое переключение пользователей.Чтобы восстановить эти особенности ,нужно отменить установку служб клиента для NetWare. Подскажите , как это сделать. панель управления - сетевые подключения - подключение по локальной сети кликаешь свойство и в списке компонентов удалить клиента для NetWare - не помогает Link to comment Share on other sites More sharing options...
edde Posted September 13, 2010 Report Share Posted September 13, 2010 Пуск - Настройка - Сетевые подключения - Свойства вашего сетевого подключения - вкладка Общие - удалите Клиент для сетей Netware если он не нужен вам для выхода в сеть. Link to comment Share on other sites More sharing options...
Ascania Posted September 13, 2010 Author Report Share Posted September 13, 2010 О, господи! Это бесконечный процесс!! Удалила, ничего не помогло. Более того, вернулись все прошлые проблемы: опера открывается со второго раза, AVZ, HJT не запускаются... Link to comment Share on other sites More sharing options...
Ascania Posted September 13, 2010 Author Report Share Posted September 13, 2010 Попыталась загрузиться в безопасном режиме - не получилось. Пишет, что необходимо перезагрузить, произошла непредвиденная остановка службы Запуска серверных процессов DCOM. Отключение системы вызвано NT AUTORITY\SYSTEM. После пары перезагрузок все запустилось. Посмотрите логи, пожалуйста. Наверное осталась какая зараза.. Др Вэб нашел Trojan.RWS.Ibank.183 hijackthis.rar rsit.rar virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar rsit.rar virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
edde Posted September 13, 2010 Report Share Posted September 13, 2010 Повторное заражение налицо. выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\windows\system32\80cf55da.exe','');QuarantineFile('c:\windows\system32\isedko.exe','');DeleteFile('c:\windows\system32\80cf55da.exe');DeleteFile('c:\windows\system32\isedko.exe');RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(20);RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет создан архив с карантином Карантин с паролем virus вышлите на ящик myedde@mail.ru скачайте http://www.freedrweb.com/livecd/ запишите диск проведите полную проверку всех дисков Карантин от вас так и не пришел ни один Повторите логи Link to comment Share on other sites More sharing options...
Ascania Posted September 13, 2010 Author Report Share Posted September 13, 2010 Спасибо большое. Карантин отправила (Прошу прощения, я раньше и не заметила текст про карантин) Остальное выполняю. Link to comment Share on other sites More sharing options...
Recommended Posts