Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   программа-заставка (http://forum.oszone.net/showthread.php?t=136936)

Adren 06-04-2009 15:29 1085737
программа-заставка
 
При зугрузке виндовс згружается до рабочего стола потом вылазит заставка с тексто что бы её убрать отправить смс,нечего немогу сделать:(
Комп работает тока в режиме отладки,помагите пожалуста как её удолить
заранее спасиба

Котяра 06-04-2009 15:33 1085748
Adren, режим отладки - это безопасный режим по F8? Тогда сделайте в нем логи по правилам:
http://forum.oszone.net/post-717373-2.html

Adren 06-04-2009 17:01 1085828
Да ето по ф8
Там пункт первый запустить проверку в безопасно режиме , но он у меня неработает.
как быть?

Pili 06-04-2009 17:34 1085864
Adren, AVZ - п.10, можете дополнительно применить твик реестра safeboot.zip
Если не получится, проверьте систему в том режиме, который запускается или воспользуйтесь Dr.Web LiveCD, KAV RescueDisk

Котяра 06-04-2009 17:40 1085872
Цитата:
Цитата Adren
Там пункт первый запустить проверку в безопасно режиме , но он у меня неработает »
Т.е.? Вот выбираете Безопасный режим, и Windows загружается?

Adren 06-04-2009 18:13 1085909
Вложений: 1
Когда выбераю безопасный режим комп просто перезагружается.Сдела все тока в режиме отлдаки вот архивы

Котяра 06-04-2009 19:54 1085977
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKLM\..\Run: [ekzabc] C:\WINDOWS\svhgost.exe
Выполните скрипт в AVZ:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('E:\autorun.wsh','');
 QuarantineFile('D:\autorun.wsh','');
 QuarantineFile('C:\autorun.wsh','');
 QuarantineFile('C:\autorun.exe','');
 QuarantineFile('autorun.bat','');
 QuarantineFile('C:\WINDOWS\system32\crypserv.exe', '');
 QuarantineFile('C:\Program Files\citysvyaz\citysvyaz.exe', '');
 QuarantineFile('C:\WINDOWS\svhgost.exe','');
 DeleteFile('C:\WINDOWS\svhgost.exe');
 DeleteFile('autorun.bat');
 DeleteFile('C:\autorun.exe');
 DeleteFile('C:\autorun.wsh');
 DeleteFile('D:\autorun.wsh');
 DeleteFile('E:\autorun.wsh');
 BC_ImportDeletedList;
 ExecuteSysClean;   
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. Появится файл quarantine.zip в папке с AVZ. Отправьте этот файл на koshkin@rbcmail.ru

thyrex 06-04-2009 22:50 1086152
Повторите логи с обновленными базами
Цитата:
Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Котяра 08-04-2009 22:17 1088323
Результаты проверки файлов карантина:
C:\autorun.exe (avz00004.dta) - http://www.virustotal.com/analisis/7...fa1cb5c87c2702
Он и autorun.wsh - вирус, распространяющийся через флешки.
C:\WINDOWS\svhgost.exe (avz00006.dta) - http://www.virustotal.com/analisis/f...3a66864665543b
Собственно вирус, блокирующий ПК.
Однако анализ некоторых файлов Вашего компьютера дает основания предположить, что на Вашем ПК остались дополнительные файлы вируса.
Выполните скрипт в AVZ:
Код:
begin
 QuarantineFile('С:\autorun.vbs','');
 QuarantineFile('С:\autorun.inf','');
 QuarantineFile('D:\autorun.vbs','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('E:\autorun.vbs','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('С:\autorun.vbs','');
 CreateQurantineArchive(GetAVZDirectory+'fleshvirus.zip');
end.
D и E - флешки или разделы HDD? Если это флешка(-и), подключите перед выполнением скрипта. При подключении удерживайте Shift - не открывайте флешку в Мой Компьютер-е! Отправьте fleshvirus.zip из папки AVZ на koshkin@rbcmail.ru

Adren 10-04-2009 18:41 1090235
Нет,виндовс перезагружается

Котяра 10-04-2009 18:51 1090249
Цитата:
Цитата Adren
Нет,виндовс перезагружается »
????

Pili 10-04-2009 19:39 1090292
Adren, Outpost попробуйте удалить, он мог помешать выполнению скрипат, повторите скрипт из поста 7.
Цитата:
Цитата Pili
AVZ - п.10, можете дополнительно применить твик реестра safeboot.zip »
Делали? автозапуск со съемных носителей отключали?
Попробуйте выполнить скрипт
Код:
begin
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(10);
 ExecuteRepair(11);
 ExecuteRepair(16);
 ExecuteRepair(17);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.
Затем скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Базы МВАМ можно обновить отдельно - downloading the update MBAM

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Логи повторите AVZ и HiJackThis в обычном режиме, если в обычном режиме загрузиться не получится, сделайте такой лог:
1. AVZ-Файл-Стандартные скрипты - отметить п.1 - Выполнить
2. Файл-Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол
3. Упакуйте протокол в архив zip или rar и прикрепите к теме.

И ещё идея, попробуйте вытащить кабель и сетевой карты и попробовать загрузиться в обычном режиме.

bad-us 11-04-2009 11:20 1090768
Короче тему уже поднималась Надо просто запустить комп со стороннего носител LiveCD какой нибудь или с флешки Потом найти ветки реестра и переправить. http://forum.oszone.net/thread-136974.html

Еще надо переправить ветку HKEY_CURENT_USER/Software/Microsoft/Windows/CurrentVersion\Run Убить надо загрузку файла с "имя пользователя.exe"


Время: 09:20.

Время: 09:20.
© OSzone.net 2001-