• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Помогите советом.

Гордиенко написал(а):
Нашла! Дальше есть директоря виндовс нажимаем выскакивает мой комп диск с и д( система на д). заходим в д и выбераем папку виндовс? Далее возвращаемся в програмы и берем утилы заходим в реестр- HKEY_LOCAL_MACHINE он идет без маркирации С или Д?
Нажмите для раскрытия...

Так у вас больная винда на Д? :confused:
Значит:
В папке больной винды через LiveCD внимательно!!!! поищите файлы D:\WINDOWS\system32\userini.exe (не D:\WINDOWS\system32\userinit.exe !!!!)
D:\WINDOWS\system32\sdra64.exe

Далее в утилитах выбрав редактор реестра идите в ветку маркированную _D

HKEY_LOCAL_MACHINE_D \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

и открыв её справа смотрите параметр AppInit_DLLs и его значение.
 
я файлы на Д и смотрела там их нет! (фух, хоть в чем то угадала)!
Так теперь по пункту 2. У меня маркирации HKEY_LOCAL_MACHINE нет, она просто в таком виде в каком написала, без Д, е сли ничего страшного нет то тогда значение AppInit_DLLs- REG_SZ- D:/WINDOWS/HELP/cscui/hlp:fFvBLbF
 
Гордиенко написал(а):
я файлы на Д и смотрела там их нет! (фух, хоть в чем то угадала)!
Так теперь по пункту 2. У меня маркирации HKEY_LOCAL_MACHINE нет, она просто в таком виде в каком написала без Д, е сли ничего страшного нет то тогда значение AppInit_DLLs- REG_SZ- D:/WINDOWS/HELP/cscui/hlp:fFvBLbF
Нажмите для раскрытия...

Удалите это параметр D:/WINDOWS/HELP/cscui/hlp:fFvBLbF
После чего попробуйте перезагрузиться и запустить avz и hijackthis
 
А извеняюсь у меня их просто там была целая куча и видно не тот удалила
 
Гордиенко,
В настоящий момент речь идет не про LiveCD а про обычную загрузку!!!! Вы должны в больной винде попробовать запустить avz и выполнить стандартный скрипт №2 (virusinfo_syscheck.zip).

Вы хоть ответьте : avz и hijackthis сейчас запускаются или нет?
 
Да все запускается и вируса уже нет, и делала я в обычном режиме (но только не то, что надо, Вы сказали по инструкции ну я и сделала по выше приведенной, а там видно ошиблась и выслала старый архив с лайф сиди) ,сейчас переделаю и вышлю скрип №2. Вы только не злитесь!!!!!!:o

---------- Добавлено в 14:00 ---------- Предыдущее сообщение было написано в 13:48 ----------

http://exfile.ru/79150:o
 
Гордиенко,

Мдяя.... Этот комп с SP1 :(
Вы с ним еще намучаетесь. Надо его до SP3 обновлять.
А теперь лечение:

Выполнить

Код: 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('D:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 DeleteFile('F:\autorun.inf');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки скачайте утилитку http://exfile.ru/74254 Распакуйте. Запустить программу .После автоматической экспресс-проверки нажать "Scan". После окончания проверки сохранить его лог (нажать на кнопку Save) и через файлообменник выложите сюда.
 
Да я думала его обновить, но боюсь, этот компьютер наверное еще и Гитлера видел.... Поэтому и без моего вмешательства еле дышет и тормозит по страшному!!!!!!!!
Вот что получилось:
http://exfile.ru/79163
 
Любимое государство, своим драгоценным служителям, всегда выделяет все самое лучшее....:D
Ну ничего если еще пару лет поработает, потом смело можно будет сдавать в музей этому же государству, а если еще и повезет то и за денежку....:D
 
Гордиенко написал(а):
http://exfile.ru/79163
Нажмите для раскрытия...
Гордиенко, Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:
Код: 
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteService('vbaewznb ', );
 RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet\Services\vbaewznb');;
 RegKeyDel('HKLM\SYSTEM\ControlSet001\Services\vbaewznb ',' ');
 RegKeyDel('HKLM\SYSTEM\ControlSet003\Services\vbaewznb ',' ');
 DeleteFile('D:\WINDOWS\System32\thqdfkg.dll ');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip
 
Гордиенко, диски F и G это хард или флешки?
 
Гордиенко,

Выполните этот скрипт

Код: 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('vbaewznb');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet001\Services\vbaewznb');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\vbaewznb');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet003\Services\vbaewznb'); 
RegKeyDel('HKLM','SYSTEM\ControlSet001\Services\vbaewznb');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\vbaewznb'); 
RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\vbaewznb'); 
DeleteFile('D:\WINDOWS\System32\thqdfkg.dll');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); 
ExecuteSysClean; 
ExecuteRepair(6);
SetAVZPMStatus(True); 
RebootWindows(true);
end.

После перезагрузки выполните этот скрипт:
Код: 
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Затем выполните стандартный скрипт №2 (virusinfo_syscheck.zip) и еще выполните лог Hijackthis

Обязательно вот это http://webfile.ru/3955291 скачайте, распакуйте и установите. После чего перезагрузитесь.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху