Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] После удаления вируса не отображаются обои и поиск

Ответить
Настройки темы
[решено] После удаления вируса не отображаются обои и поиск

Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar extra.rar
(4.6 Kb, 2 просмотров)
Тип файла: rar main.rar
(4.0 Kb, 2 просмотров)
Тип файла: rar hijackthis.rar
(1.7 Kb, 2 просмотров)
Прочитала всю инструкцию, собрала все необходимые файлы. Надеюсь, что вы мне сможете помочь. Компьютер не мой (то есть вирусов в него напустили ещё до меня), а я теперь пытаюсь как-то привести беднягу в норму. Вроде бы, всех вирей поудяляла, всеми возможными программками проверила.

Теперь осталось лишь напоминание в виде рабочего стола. Там постоянно висит картинка "Spyware infection".

И ещё когда я открываю "Поиск", видно только собачку-помощника и никаких полей, в которые вводить текст для поиска.

Буду очень благодарна за помощь! Надеюсь, что все необходимые файлы я прикрепила. ;-)

Отправлено: 02:29, 26-03-2008

 

Аватара для Erekle

Ветеран


Сообщения: 637
Благодарности: 105

Профиль | Отправить PM | Цитировать


[стёр]

-------
Здесь вся мудрость [14.6]


Последний раз редактировалось Erekle, 27-03-2008 в 02:15. Причина: Более квалифицированная и "правильная" помощь, изложенная в нижеследующем сообщении, а также стремление сократить длину с. :)


Отправлено: 05:39, 26-03-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


FreeSoul, В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\appkc32.dll','');
 QuarantineFile('C:\winstall.exe','');
 QuarantineFile('C:\Program Files\SpySheriff\SpySheriff.exe','');
 QuarantineFile('C:\WINDOWS\crha32.exe','');
 QuarantineFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe','');
 QuarantineFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\9.tmp.exe','');
 DeleteFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe');
 DelBHO('{55631A23-8A44-6ECD-6BD7-705877180E2C}');
 DeleteFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\9.tmp.exe');
 DeleteFile('C:\WINDOWS\crha32.exe');
 DeleteFile('C:\winstall.exe');
 DeleteFile('C:\WINDOWS\system32\appkc32.dll');
 DeleteFile('C:\Program Files\SpySheriff\SpySheriff.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код: Выделить весь код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked"
Код: Выделить весь код
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xskvg.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Class - {55631A23-8A44-6ECD-6BD7-705877180E2C} - C:\WINDOWS\system32\appkc32.dll (file missing)
O4 - HKLM\..\Run: [crha32.exe] C:\WINDOWS\crha32.exe
O4 - HKLM\..\Run: [A.tmp] C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
удалить полностью папку
C:\Program Files\SpySheriff\
скопируйте текст ниже в блокнот, сохраните как fix.reg и примените
Код: Выделить весь код
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\9.tmp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\9.tmp.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\A.tmp.exe]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1c5c2d0-90c3-11dc-aebe-0090270f91ad}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySheriff]
Повторите логи
Цитата Erekle:
В Hijack This откройте раздел Open Misc Tools section. Нажать кнопку "Delete an NT service" button. Скопируйте в окошко:
11F?a #·?AO`I »
службы каждый раз по-разному наз-ся

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Последний раз редактировалось Pili, 26-03-2008 в 18:36.


Отправлено: 08:11, 26-03-2008 | #3


Аватара для Erekle

Ветеран


Сообщения: 637
Благодарности: 105

Профиль | Отправить PM | Цитировать


Цитата Pili:
службы каждый раз по-разному наз-ся »
А, понял (к тому же я продублировал в Службах.мсц )

Pili, там, может быть, ещё надо было разрегистрировать
Search Extender --> rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/SearchExtender.html"
Shopping Wizard --> rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/ShoppingWizard.html"


- но я как-то не осилил.

-------
Здесь вся мудрость [14.6]


Отправлено: 10:22, 26-03-2008 | #4


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


Erekle, угу,
тогда ещё
Код: Выделить весь код
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
добавил в свой предыдущий пост
И просканировать систему с помощью Ad-Aware или Spybot S&D

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 18:34, 26-03-2008 | #5


Новый участник


Сообщения: 42
Благодарности: 9

Профиль | Отправить PM | Цитировать


Восстановление системы не отключено, надо отключить, а то все лечение может пойти коту под хвост.

-------
virusinfo.info Помощь по раб. дням с 09 до 20


Отправлено: 20:00, 26-03-2008 | #6


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Не смогла отметить галочками вот эти пункты в
Цитата Pili:
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" »
Цитата Pili:
O2 - BHO: Class - {55631A23-8A44-6ECD-6BD7-705877180E2C} - C:\WINDOWS\system32\appkc32.dll (file missing) O4 - HKLM\..\Run: [crha32.exe] C:\WINDOWS\crha32.exe O4 - HKLM\..\Run: [A.tmp] C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe »
У меня этих пунктов почему-то просто нет.

Цитата Pili:
удалить полностью папку
C:\Program Files\SpySheriff\ »
Этой папочки тоже нет.

Цитата Pili:
В Hijack This откройте раздел Open Misc Tools section. Нажать кнопку "Delete an NT service" button. Скопируйте в окошко:
11F?a #·?AO`I » »
Когда ввожу "11F?a #·?AO`I " выскакивает ошибка, что не найдено.

К сожалению, все остальные операции я проделала, но ничего не помогло.

Отправлено: 03:27, 27-03-2008 | #7


Аватара для Erekle

Ветеран


Сообщения: 637
Благодарности: 105

Профиль | Отправить PM | Цитировать


Цитата FreeSoul:
O2 - BHO: Class - {55631A23-8A44-6ECD-6BD7-705877180E2C} - C:\WINDOWS\system32\appkc32.dll (file missing) O4 - HKLM\..\Run: [crha32.exe] C:\WINDOWS\crha32.exe O4 - HKLM\..\Run: [A.tmp] C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe »

У меня этих пунктов почему-то просто нет. »
Вы сначала запускали AVZ? В таком случае тот и удалил их и Hijack-у не осталось.
Цитата FreeSoul:
C:\Program Files\SpySheriff\ »

Этой папочки тоже нет. »
Папка должна была быть, потому что на приложение из неё указывал ваш начальный лог. Может, какая-то утилита, примененная вами, удалила их после создания логов?
Цитата FreeSoul:
Цитата Pili:
В Hijack This откройте раздел Open Misc Tools section. Нажать кнопку "Delete an NT service" button. Скопируйте в окошко:
11F?a #·?AO`I » »

Когда ввожу "11F?a #·?AO`I " выскакивает ошибка, что не найдено. »
Это я писал, и ошибочно. Это то же самое, что и Workstation NetLogon Service из отчета AVZ. Эта служба была запущена, согласно тому же отчету, файлом K“B.exe
В меню Старт, в строке Run, напечатайте:
services.msc
В появившемся окне найдите (в колонке Description) Workstation NetLogon Service, откройте в контекстном меню этой службы Properties, и посмотрите - там должна быть строка Path to executable. На какой файл указывает?

Попробуйте в той же строке Run напечатать и запустить команды:
regsvr32 jscript.dll
regsvr32 vbscript.dll


Ad-Aware и Spybot S&D применяли? Повторите логи.

-------
Здесь вся мудрость [14.6]


Последний раз редактировалось Erekle, 27-03-2008 в 05:41.


Отправлено: 05:25, 27-03-2008 | #8


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


Цитата FreeSoul:
У меня этих пунктов почему-то просто нет. »
это хорошо, значит avz постарался
Цитата Pili:
Файл quarantine.zip выслать на user15802[at]mail.ru »
FreeSoul, где карантин, где повторные логи?
Ещё выполните скрипт
Код: Выделить весь код
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
end.

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 07:58, 27-03-2008 | #9



Moderator


Сообщения: 53404
Благодарности: 15488

Профиль | Отправить PM | Цитировать


Цитата FreeSoul:
И ещё когда я открываю "Поиск", видно только собачку-помощника и никаких полей, в которые вводить текст для поиска.
В дополнение к вышесказанному:
[решено] Всё исчезло из поиска. Пустое окно.
[решено] Пропали поля в "поиске"

Отправлено: 14:46, 27-03-2008 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] После удаления вируса не отображаются обои и поиск

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Остатки после удаления вируса winlock-get seman Лечение систем от вредоносных программ 12 21-12-2009 09:37
[решено] Последствия после удаления вируса, кто то сталкиваля sergey1234567 Лечение систем от вредоносных программ 2 10-12-2009 09:11
после удаления вируса не могу сменить обои nicsmir Лечение систем от вредоносных программ 1 27-10-2008 15:27
Интерфейс - последствия после удаления вируса!((( art777 Лечение систем от вредоносных программ 13 30-04-2008 16:44
После удаления вируса пропал Desctop mgm66 Лечение систем от вредоносных программ 3 28-01-2005 01:46




 
Переход