Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Аристократка

Опять порноинформер!

Рекомендованные сообщения

Здравствуйте!Зашла на один очень даже приличный сайт и после этого на моих глазах был установлен порноинформер(я заметила,как мелькнула командная строка),потом завис браузер Fireeox,кстати,отвис,я продолжила работу.Когда включила в следующий раз компьютер-вышло вот чтоpost-311256-1274209871_thumb.jpg.При этом интернет подключается,ICQ запускается,но ни один браузер не открывается-только сворачивается с надписью Error.Восстановление системы не открывается,т.к.отключено групповой политикой(включить пыталась-не включается в службах)В безопасном режиме информер не появляется.В списке установленных программ его нет.

Предыдущий информер удаляла вручную из папки Application data на C.Сейчас его там нет.

Dr Web нашел rlservice.exe(C:\Documents and Settings\Имя\Local Settings\Temp\~os54.tmp)

 

Один скриншот удалён. // WIGF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте ввести следующие коды: 193766431

затем 286737021

Отпишитесь о результате.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Попробуйте ввести следующие коды: 193766431

затем 286737021

Отпишитесь о результате.

 

 

 

ПОМОГЛО!!!СПАСИБО!!! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня таже шляпа на втором компе... ща попробую ввести коды..... отпишу.

 

 

помогло, спасибо ;)

 

;)

 

Скрин приложил чтоб не думали что флужу :angry:

 

Скрин удалён. // WIGF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

0feeceff99af.jpg

"Ну ты заходи, если что..." ;)

http://support.kaspersky.ru/viruses/deblocker

 

Логи делаем по инструкции -> ИНСТРУКЦИЯ

Зараза всё ещё в компе сидит (иногда даже рядом с компом ;) ).

 

Для MarikPS: AVIRA AntiVir

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
0feeceff99af.jpg

"Ну ты заходи, если что..." :yahoo:

http://support.kaspersky.ru/viruses/deblocker

 

Логи делаем по инструкции -> ИНСТРУКЦИЯ

Зараза всё ещё в компе сидит (иногда даже рядом с компом B) ).

 

СПАСИБО ОГРОМНОЕ за ссылки, ;) ;) вечно благодарен, мой комп уходит на проверку антивирем, хотя мне кажеться что его (антивирь) пора выкидывать, раз пропустил гадость :angry: обидно....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аристократка, MarikPS , скрины с порнухой-эротикой надо замазывать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
СПАСИБО ОГРОМНОЕ за ссылки, ;) ;) вечно благодарен, мой комп уходит на проверку антивирем, хотя мне кажеться что его (антивирь) пора выкидывать, раз пропустил гадость :angry: обидно....

И на какой антивирус будем переходить, на тот, что у Аристократки? :yahoo:

Такую или подобную шнягу (в зависимости от модификации) пропускают почти все. Тут больше от пользователя зависит.

 

offtop

Аристократка, MarikPS , скрины с порнухой-эротикой надо замазывать!

Хехе... Это ещё скромно. B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

artnet, Тебя что то смущает? попросят модеры проблем нету, удалю или податру, гениталии не обнажены так что всё ок... :P

Artificial Knight, был когда-то нод, снёс, стоит щас "зонтик", (Avira AntiVir Personal).

на тот, что у Аристократки

Точно нет B);)

Тут больше от пользователя зависит.

;):angry::yahoo:

Буду осторожнее в следующий раз :)))))))))))))))))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Логи

Фиксим в HijackThis следующие строки (при закрытых браузерах):

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe		
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

 

Что значит "фиксим" объяснять не надо?

 

Аристократка, выполнить скрипт в AVZ:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
BC_DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Да, кстати, в AVZ: "Внимание !!! База поcледний раз обновлялась 28.01.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)"

И ещё: Windows XP SP2. Давно пора SP3 ставить, столько дыр в системе сразу закроется.

 

Ну и новые логи сделать и приложить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, кстати: "Внимание !!! База поcледний раз обновлялась 28.01.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)"

И ещё: Windows XP SP2. Давно пора SP3 ставить, столько дыр в системе сразу закроется.

 

Спасибо!Все сделала.Базы в avz4 не обновляются-ошибка.

Сейчас SpyBot скачиваю.Я бы не против SP3,но может лучше антивирус сменить для начала?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

A AVZ Бесплатный?? и откуда сдёрнуть нормальную версию можно?

 

Сейчас SpyBot скачиваю

 

Он немножко не антивирь, вон профи объяснят что он ищет, что-то вроде шпионов, но не вирусов ИМХО. Могу ошибаться. :rtfm: поправьте если я корявка. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я бы не против SP3,но может лучше антивирус сменить для начала?

Неправильный ход мысли. Сначала установить 3й сервис пак! Он закроет большую часть дыр в безопасности системы. Иначе ни один антивирус не поможет.

Сейчас SpyBot скачиваю

Тогда уж лучше Malwarebytes-AntiMalware.

 

В настройках обновления AVZ выбрать прямое соединение с Интернет:post-292322-1274213832_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аристократка, фиксим в HijackThis (при закрытых браузерах):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru		
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru		
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Анна\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

 

После выполнения попробовать снова обновить AVZ.

 

 

MarikPS, бесплатно: http://www.z-oleg.com/secur/avz/download.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Открылся сразу файл для сохранения

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В AVZ - меню Файл - Восстановление системы - выполнить следующие пункты: post-292322-1274215910_thumb.jpg

 

Открылся сразу файл для сохранения

Сохранить. Запустить. Провести полное сканирование системы.

Потом просканировать Malwarebytes-AntiMalware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аристократка,

MarikPS ,

По одному вашему скриншоту удалил. Лучше недетские части скринов замазывать, как и сделала топикстартер на втором скрине.

Ведь самое главное в этих баннерах не картинки, а текст (отправить сообщение Х на номер Y).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

WIGF, Ок будем знать! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Надо сторонний фаерволл, например Outpost ставить и отключать лишние скрипты(vb, activex) и скрытые фреймы. Сколько за компом ни разу подобной хрени не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кровный, Стоял аутпост, я им так и не научился пользоваться <_< точнее настроить его не смог :angry:

Посталвю полистаю, может что и получиться, 2-е сутки чистюсь....:angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прошу прощения за скриншоты.Касперским проверила,только вот отчеты как извлечь?Я бы их приложила.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скриншот можно. Что найдено и удалено?

Какой результат сканирования Malwarebytes-AntiMalware?

Новый лог AVZ и HijackThis сделать и приложить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какой результат сканирования Malwarebytes-AntiMalware?

Новый лог AVZ и HijackThis сделать и приложить.

 

Какой-какой?-Черный экран и нажмите cnrl+alt+del to rеstart!!!!!!Это после работы этой программы-после необходимой перезагрузки!!!Прощай Windows!!! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В безопасном режиме система загружается?

 

http://www.commix.ru/bugs/userini-exe.html#more-628

Хитрость заключается в том, что вирус подменяет системный файл userinit.exe, который требуется для инициализации пользователя в системе.

 

Настоящий userinit.exe переименовывается вирусом в userini.exe (без буквы “t”). Таким образом, на этапе инициализации пользователя система загружет вредоносный userinit.exe, т.к. вызов этого файла назначен в параметре UserInit ветки реестра:

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

“UserInit” = %System%\userinit.exe”

 

Который в свою очередь совершает что-то нехорошее на компьютере и уже после этого запускает настоящий userinit, в данный момент переименованный в userini.exe (без буквы “t”).

 

Что происходит, когда антивирус обнаруживает файл вируса? Правильно, он его удаляет. И получается, что при следующей попытки входа в систему, файл userinit.exe не будет найден, а сеанс пользователя завершится так и не начавшись.

 

Если это произошло, необходимо вернуть настоящий файл userinit.exe, копия которого есть в папке: C:\WINDOWS\system32\dllcache. Понадобится загрузить компьютер с помощью загрузочной дискеты или диска, флешки, LiveCD или просто подключить жесткий диск к другому компьютеру. Если в этой папке оригинал отсутствует, необходимо его скопировать с установочного диска или другого компьютера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах