Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

LTA320WT-L08

последствия банера

Рекомендованные сообщения

После удаления банера перестал запускаться реестр , диспечер задач (проблема решена). Не запускается и не функционирует Highlight,Memory Improve Professional , возникют ошибки

a4c75bac3e71t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
После удаления банера

Каким способом?

Кодом или удалением файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
После удаления банера

Каким способом?

Кодом или удалением файлов?

 

удалением файлов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
удалением файлов

у нас тут не принято гадать. нужны отчеты по теме ИНСТРУКЦИЯ

и желательно названия удаленных файлов. лучше б сами файлы.

тогда будут адекватные советы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Файлы удалены и резервных копии не делал , до сегодняшнего дня антивирус не запускался , сегодня стартанул и выкинул post-406598-1274209859_thumb.jpg

Логи AVZ avz_log.txt

Логи HiJackThis hijackthis.rar

Банер был с номером 381 , текст T701016300

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата из ИНСТРУКЦИИ:

2. Скачайте один или все бесплатные и не требующие установки антивирусные сканеры:

а) Kaspersky® Virus Removal Tool - бесплатный сканер от лаборатории Касперского; в настройках поставьте "Уровень безопасности" на "Максимальную защиту"; не запускайте данную утилиту на компьютерах с установленными продуктами от "Лаборатории Касперского", т.к. AVPTool не совместим с другими продуктами ЛК и такой запуск может привести к ошибкам в системе;

Сканирование проводилось?

6. Запустите AVZ. Войдите в меню AVZ: "Файл" => "Стандартные скрипты" и поставьте галку напротив позиции "2. Скрипт сбора информации для раздела "Помогите" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории "AVZ" в папке "LOG" в архиве virusinfo_syscheck.zip. Закройте AVZ.

 

7. Перезагрузите компьютер и запустите утилиту GetSystemInfo: в окошке нажмите "Create Report" и дождитесь окончания исследования.

Если у вас есть доступ в интернет, тогда отправьте для исследования полученный лог сюда: нажмите "Обзор" и выберите полученный лог-файл (ищите его на Рабочем столе), а потом нажмите "Отправить". После этого появится страница с анализом вашего лог-файла. На эту страницу дайте ссылку в вашем сообщении на форуме.

 

И где оно??

 

Теперь по логу HijackThis. Для начала фиксим следующие строки (при закрытых браузерах):

C:\WINDOWS\System32\netprotocol.exe
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
O4 - HKLM\..\Run: [Netprotocol] C:\WINDOWS\System32\netprotocol.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

 

Внимательно прочитав Инструкцию вы избавите от лишней траты времени людей, которые пытаются вам помочь!

Большая часть заразы, сидящей в системе была бы автоматически вычищена CureIt и Kaspersky® Virus Removal Tool!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из Инструкции:

!!!!! Перед выполнением пунктов 5 и 6 закройте игры, текстовые редакторы и любые другие программы, оставьте запущенным только браузер "Internet Explorer". Если он не запущен - запустите!

Также рекомендуется отключать выгружать защитное ПО, точнее модули фаерволов/антивирусов/антишпионов, выполняющие функции HIPS/Проактивной защиты, потому что они могут помешать созданию полноценных логов (для пунктов 5 и 6). Если не знаете, что такое HIPS или же как он отключается, просто выгрузите всё защитное ПО на время создания логов.

Лишние программы затрудняют анализ логов.

 

Отчёт GSI отсутствует.

 

Выполнить скрипт в AVZ:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('TermService', 4);
QuarantineFile('\\?\globalroot\systemroot\system32\6IcdoZD.exe','');
QuarantineFile('\\','');
QuarantineFile('F:\7216_WinHDD.exe','');
BC_DeleteFile('c:\windows\system32\netprotocol.exe');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Обновить антивирус и произвести полное сканирование системы в Безопасном режиме.

Сделать и приложить новые логи.

 

Добавлено:

Карантин AVZ прикрепить к сообщению или отправить на почту, указанную в Инструкции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Artificial Knight, ссылку у топикстартера поправил. Как-то криво она прописалась.

Теперь отчёт GSI доступен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Извиняюсь за долгий не ответ , после последних сообщений компьютер был включен только сегодня , Artificial Knight спасибо за помощь . Логи приложены ниже

P.S. до выполнения логов при выключении или перезагрузки выдовал синий экран 0x0000008E (0xC0000005,0x8064CE4D,0xB641AB2C,0x00000000) (после картина не изменилась)

Компьютер перезагрузится.

Обновить антивирус и произвести полное сканирование системы в Безопасном режиме.

Сделать и приложить новые логи.

 

Добавлено:

Карантин AVZ прикрепить к сообщению или отправить на почту, указанную в Инструкции.

Лог avz virusinfo_syscheck.rar

GetSystemInfo:

Отчёт GSIGetSystemInfo_R_r_2010_06_06_15_12_54.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

LTA320WT-L08, зачем утилиту к форуму прикрепил?

 

Стоп ошибка указывает на неудачное обновление системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
LTA320WT-L08, зачем утилиту к форуму прикрепил?

 

Стоп ошибка указывает на неудачное обновление системы.

 

На какое обновление , как либо устранить это возможно

 

P.S. 77xaker спасибо исправил

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выполнить скрипт в AVZ:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
SetServiceStart('Alerter', 4);
BC_DeleteFile('C:\WINDOWS\system32\netprotdrvss');
BC_DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_DeleteFile('C:\WINDOWS\system32\mssfc.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделать новые логи AVZ и HijackThis.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доктор Вэб удалён?

 

Пофиксить в HiJack:

O4 - HKLM\..\Run: [Netprotocol] C:\WINDOWS\System32\netprotocol.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Unknown owner - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe (file missing)
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)

 

Выполнить скрипт в AVZ:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
BC_DeleteFile('C:\WINDOWS\System32\netprotocol.exe');
BC_DeleteFile('C:\WINDOWS\system32\mssfc.dll');
CopyFile('C:\WINDOWS\System32\dllcache\mssfc.dll', 'C:\WINDOWS\System32\mssfc.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Что это за файл: F:\7216_WinHDD.exe?

На всякий случай проверить его на http://www.virustotal.com/ru/

Результат выложить здесь.

 

Проводилось ли сканирование Kaspersky Virus Removal Tool?

Так-же просканировать систему с помощью Malwarebytes-AntiMalware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Выполнить скрипт в AVZ:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
[...]
end.

Можете объяснить, зачем в один и тот же параметр реестра сначала писать одно значение, а затем сразу же -- второе :lol2: ?.. Типа, глюк Зайцева?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Выполнить скрипт в AVZ:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
[...]
end.

Можете объяснить, зачем в один и тот же параметр реестра сначала писать одно значение, а затем сразу же -- второе :lol2: ?.. Типа, глюк Зайцева?..

Возможно. Нужно будет у Олега спросить.

Эти две одинаковые строки скрипта генерируются с помощью разных команд (на скриншоте - две нижние строки):

post-292322-1276146883_thumb.jpg

 

В любом случае, хуже от этого не будет.

 

Задать вопрос Олегу Зайцеву можно здесь: http://virusinfo.info/showthread.php?p=652458#post652458

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Kaspersky Virus Removal Tool avptool_sysinfo.zip

Лог avz LOG.rar

Лог HijackThis hijackthis.rar

Отчёт GSI GetSystemInfo_R_r_2010_06_14_21_02_02.zip

http://www.getsysteminfo.com/read.php?file=7e4e0bcd973824133610e3eb19871b2b

После сканирования системы с помощью Malwarebytes-AntiMalware возникли ошибки

a37bd51f0381.jpg

4efc401c8b9e.jpg

Файл: F:\7216_WinHDD.exe -не вирус

также возникают проблемы с сетью .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Доктор Вэб удалён?

 

Проводилось ли сканирование Kaspersky Virus Removal Tool?

Доктор Вэб удалён да ,

 

Проводилось ли сканирование Kaspersky Virus Removal Tool да

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что было найдено Kaspersky Virus Removal Tool?

Какой антивирус установлен сейчас?

Удалось ли провести полное санирование с помощью Malwarebytes-AntiMalware? Было ли что-то найдено и удалено?

 

В логах вроде ничего подозрительного не видно.

Ещё немного подчистим мусор. Выполнить скрипт в AVZ:

begin
ExecuteStdScr(5);
SetServiceStart('TermService', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('DrWebEngine');
BC_DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\6tkzM0tN.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\71S56ufN.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX0\dwebio16.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX0\dwebio32.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX0\dwebllio.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX0\setup.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX1\dwebio16.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX1\dwebio32.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX1\dwebllio.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX1\setup.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX2\dwebio16.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX2\dwebio32.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX2\dwebllio.dll');
DeleteFile('C:\Documents and Settings\r\Local Settings\Temp\RarSFX2\setup.dll');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(12);
ExecuteRepair(13);
ExecuteRepair(15);
ExecuteRepair(17);
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Можете объяснить, зачем в один и тот же параметр реестра сначала писать одно значение, а затем сразу же -- второе :) ?.. Типа, глюк Зайцева?..

видимо действительно глюк :)

ибо

3 зона - интернет.

0 – включить; 1 – предлагать; 3 - отключить. и iframe вроде не 2201 , а 1804 если мне не изменяет оперативная память.

вот тут это подробненько http://support.microsoft.com/kb/182569

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Они все верно генерируют ... просто необходимо выбрать что-то одно из двух

 

Хотя да, по идее за iframe отвечает параметр 1804. Спросил ещё раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Они все верно генерируют ... просто необходимо выбрать что-то одно из двух

 

Хотя да, по идее за iframe отвечает параметр 1804. Спросил ещё раз.

выбрать одно из двух? видимо можно выбирать между 0, 1, и 3. но для каждого отдельного параметра.

 

в любом случае можно и желательно после лечений пройтись по настройкам виндовыми средствами вручную (для очистки оперативной совести). хуже не станет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
в любом случае можно и желательно после лечений пройтись по настройкам виндовыми средствами вручную (для очистки оперативной совести). хуже не станет.

Да, но это явно уже не для простых пользователей, к коим я и себя отношу. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Да, но это явно уже не для простых пользователей, к коим я и себя отношу. :D

Artificial Knight, вот только скромничать не надо. :) уж мы то все тебя любим и ценим. я даж не возьмусь подсчитать скольким ты тут помог.

 

всем остальным напоминаю Эксперты/Хелперы раздела

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Логи ________.rar

Антивирус пока не установлен.

Полное санирование с помощью Malwarebytes-AntiMalware запустить не удалось Malwarebytes Portable были найдены файлы

 

997cc57c3c21t.jpg

 

проблемы с сетевым оборудованием не устранились:не работают сетевые карты на сеть, интернет воспринимают обе.

 

Доступ на антивирусные сайты перекрыт

 

Блокирует установку оборудования

 

320dec9e2771t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выполнить скрипт в AVZ:

begin
SearchRootkit(true, true);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
DeleteService('DrWebEngine');
StopService('DrWebEngine');
BC_DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dr.Web Engine','EventMessageFile');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Удалить Kaspersky Virus Removal Tool.

Скачать свежую версию DrWeb CureIt и Kaspersky Virus Removal Tool.

]Оключить компьютер от локальной сети.

Провести проверку скачаными утилитами в Безопасном режиме!

После этого сделать логи AVZ и HijackThis в обычном режиме.

Так-же приложить лог Malwarebytes-AntiMalware.

Так-же не мешало бы проверить с помощью KidoKiller: kk.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Антивирус пока не установлен.

 

Да тут целый зверинец. "Эксперименты" с вирусами проводить крайне нежелательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лог avz LOG.rar

Лог HijackThishijackthis.rar

Отчёт GSI GetSystemInfo_R_r_2010_06_24_01_00_12.zip

Kaspersky Virus Removal Tool avptool_sysinfo.zip

Лог Malwarebytes-AntiMalware mbam_log_2010_06_24__22_41_53_.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах