Доступ

ruslan... · Конфигурация компьютера

Drec554,

В реестре по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметр Shell - значение explorer.exe

Параметр Userinit - значение C:\Windows\system32\userinit.exe,
запятая обязательно.

okshef · Конфигурация компьютера

Drec554, пожалуйста, выполните рекомендации и представьте логи, согласно правил запроса о помощи. Переношу в лечение.

Drec554 · Отправлено: **16:55, 03-09-2013** | #4

okshef,
Я вас понял приду с работы выложу логи, а вот еще беда , когда вчера проверял касперским в live cd, нашел троян в lsas.exe, но лечить не стал удалил, поискал это оказывается целая служба, как мне этот файл восстановить или сначала логи?

regist · Отправлено: **17:35, 03-09-2013** | #5

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить с выбором пользователя" - укажите проблемную учётку.
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS

Drec554 · Отправлено: **20:46, 03-09-2013** | #6

okshef,

Drec554 · Отправлено: **20:57, 03-09-2013** | #7

regist,

Когда я пишу имя пользователя Dmitry , папка под таким именем есть в папке C:\Users\Dmitry

пишет неверное имя или пароль!

Что делать!

regist · Отправлено: **21:14, 03-09-2013** | #8

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Mozilla\hheocpm.exe','');
 QuarantineFile('C:\Windows\system32\umghost.exe','');
 QuarantineFile('C:\Users\Dmitry\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Q71U0X9\GTSetup[1].exe','');
 DeleteFile('C:\Users\Dmitry\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Q71U0X9\GTSetup[1].exe');
 DeleteFile('C:\Users\Dmitry\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Q71U0X9\GTSetup[1].exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{303E6E14-B9E9-44EA-B80C-C4C3C5BA296F}','64');
 DeleteFile('C:\Windows\system32\umghost.exe','32');
 DeleteFile('C:\Mozilla\hheocpm.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\kdbmfkb.job','64');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(10);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Цитата Drec554:

Когда я пишу имя пользователя Dmitry , папка под таким именем есть в папке C:\Users\Dmitry
пишет неверное имя или пароль! »

сделайте лог uVS под текущим пользователем.

Drec554 · Отправлено: **21:26, 03-09-2013** | #9

regist · Отправлено: **22:12, 03-09-2013** | #10

После скрипта написанного выше выполните ещё

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %SystemDrive%\USERS\DMITRY\APPDATA\LOCAL\TEMP\RARSFX0\BIN\CONFIG\TELEPAT.DLL
delall %SystemDrive%\MOZILLA\HHEOCPM.EXE
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delref HTTP://WEBALTA.RU/SEARCH
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер [b]может быть перезагружен[/B
Подробнее читайте в этом руководстве.

потом жду

Цитата:

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

и заодно отпишитесь, что с проблемой после этих действий ?