продаю toshiba satellite a200-1m5

[Eschestowa]

Есть контакт.
http://webfile.ru/4266522 - hijackthis.log
http://webfile.ru/4266525 - virusinfo_syscheck.zip

 

[01pump]

Eschestowa,
Вроде всех победили. Как комп себя чувствует?

 

[Eschestowa]

Вроде, нормально.
Спасибо Вам, благодетель.

 

[Mdell]

Здравствуйте, помогите и мне пожалуйста с вирусом интернет секьюрити. вот логи сделанные с лайв сд как вы тут описывали.
http://webfile.ru/4267916

 

[romul781]

Mdell, Грузимся снова с LiveCD и запускаем Hijackthis с удаленным реестром кнопкой "Do a system scan only" откроется таблица. В ней найдите и отметьте следующие строчки:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

и нажать кнопку "Fix сhecked".

таким же макаром (с удаленным реестром) запустите авз: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
 ExecuteRepair(1 );
 ExecuteRepair(2 );    
 ExecuteRepair(14 ); 
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки попробуйте запустить винду в обычном режиме и выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог программы хайджек

 

[Mdell]

Я тут подумал что выходной и вы все спите. Не вытерпел, сделал по этому методу http://pauel.livejournal.com/231089.html и удалил с помощью adsspy - C:\WINDOWS\Cursors\arrow_n.cur : NEDTA.DAT (6144 bytes)
C:\WINDOWS\inf\wdma_ess.PNF : HxhRwmiP (131584 bytes)
C:\WINDOWS\system32\dllcache\c_20107.nls : HxhRwmiP (131584 bytes)
(скажите всё ли надо было удалять?) потом avz выполнил скрипты 1,2,3,4,6, 10, 11, 13, 17. теперь комп почти полностью работает, только нод32 3й версии с виндой, не загружается (мне его переустановить придётся?) и ещё ati tray tool очень долго грузится. Ещё спросить хочу, когда комп не работал нормально, почти все службы остановлены были. Теперь как запустит те службы которые по умолчанию в винде включены ведь нод32 тоже службой запущен. Вот последние логи http://webfile.ru/4268211

 

[romul781]

Mdell, Вы выложили старый лог от авз.
1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')

и нажать кнопку "Fix сhecked".
перегрузите комп.
после перезагрузки выложите новый лог хайджека и выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

 

[Mdell]

вот сделал по инструкции http://webfile.ru/4268269

 

[romul781]

Mdell,
1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')

и нажать кнопку "Fix сhecked".

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_setup_9.0.0.722_23.01.2010_18-10.exe.bat');
 DeleteFile('setup_9.0.0.722_23.01.2010_18-10drv');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\53968061.sys');
 DeleteFile('53968062.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\5396806.sys');
 DeleteService('53968061');
 DeleteService('setup_9.0.0.722_23.01.2010_18-10drv');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог хайджека

 

[Mdell]

вот http://webfile.ru/4268286

 

[romul781]

Mdell, вообчем-то в логах не вижу ничего вредного.
или есть еще какие-нибудь не решенные проблемы?

 

[Horek]

Люди специально зарегистрировался что бы помочь. Поскольку в компах разбираюсь хреново расскажу как я решил эту проблему по другому. Вылез баннер enternet security и требовал отправки смс на номер ****. Я позвонил своему оператору сотовой связи (мегафон) и попросил координаты компании которой принадлежит данный короткий номер. После этого позвонил непосредственно в компанию телефон которой мне дал оператор. И сказал что если через 10 минут у меня не заработает комп то я иду в милицию писать заявление по факту мошенничества и вымогательства. Мне тут же дали ключ я его ввел комп перезагрузился и все работало нормально!

Решил проверить, но кроме "Ваша заявка принята и будет передана в СБ компании" ничего другого не получил

 

[Mdell]

Спасибо. осталось только разобраться с нод32, как он в автозапуске прописывался.