ЛЮДИ ПОМОГИТЕ!
Astral
Мастер
1/3/2010, 4:21:16 AM
сделал, вот:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:20:37, on 03.01.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Opera\opera.exe
C:\Windows\explorer.exe
C:\Windows\system32\taskhost.exe
C:\Users\Mutter\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=21968
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O4 - HKLM\..\Run: "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Отправить через Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{274BBA1F-DCC5-459D-97E6-78C337D712C4}: NameServer = 192.168.100.22,192.168.100.3
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
--
End of file - 4217 bytes
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:20:37, on 03.01.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Opera\opera.exe
C:\Windows\explorer.exe
C:\Windows\system32\taskhost.exe
C:\Users\Mutter\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=21968
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O4 - HKLM\..\Run: "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Отправить через Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{274BBA1F-DCC5-459D-97E6-78C337D712C4}: NameServer = 192.168.100.22,192.168.100.3
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
--
End of file - 4217 bytes
DELETED
Акула пера
1/3/2010, 4:24:50 AM
М-да.
Вот это вот:
"F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe"
Подменяет оболочку (shell, коим является explorer.exe) на себя.
Это надо чинить. В смысле FIX.
Делали?
Вот это вот:
"F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe"
Подменяет оболочку (shell, коим является explorer.exe) на себя.
Это надо чинить. В смысле FIX.
Делали?
Astral
Мастер
1/3/2010, 4:26:45 AM
да, поставил галочку и нажал fix Checked, потом перезагрузил...
я может не так что делал, просто иногда не понимаю некоторых выражений, но вроде всё по схемам...
я может не так что делал, просто иногда не понимаю некоторых выражений, но вроде всё по схемам...
DELETED
Акула пера
1/3/2010, 4:27:30 AM
Намана. Вирус плакал и сопротивлялся.
AVZ запускается?
AVZ запускается?
Astral
Мастер
1/3/2010, 4:31:06 AM
да, я всё сделал до пункта
"Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл
Выбираем пункт "Выполнить скрипт"
.. и или вставляем скопированный в буфер обмена скрипт .."
я не понимаю откуда надо скопировать, чтоб вставить?
"Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл
Выбираем пункт "Выполнить скрипт"
.. и или вставляем скопированный в буфер обмена скрипт .."
я не понимаю откуда надо скопировать, чтоб вставить?
DELETED
Акула пера
1/3/2010, 4:33:11 AM
Куда торопимся? Внимательно читать нужно.
Еще один уточняющий вопрос: мы выполняем все эти действия от имени администратора или как?
Еще один уточняющий вопрос: мы выполняем все эти действия от имени администратора или как?
Astral
Мастер
1/3/2010, 4:34:07 AM
вот именно, что нет ((( второй пользователь, от имени администратора, к сожалению нет диспетчера, он пропал (((
DELETED
Акула пера
1/3/2010, 4:36:13 AM
А правой кнопкой на исполняемом файле и "запустить от имени администратора" пункта нет?
Astral
Мастер
1/3/2010, 4:39:26 AM
есть, при нажатии:
"это программа заблокированна групповой политикой политикой и т.д."
"это программа заблокированна групповой политикой политикой и т.д."
DELETED
Акула пера
1/3/2010, 4:44:16 AM
Зачет.
Чистый диск CD-R (RW) есть? Писалка есть? Или флешка?
Чистый диск CD-R (RW) есть? Писалка есть? Или флешка?
Astral
Мастер
1/3/2010, 4:45:53 AM
всё есть, что делать? )))
DELETED
Акула пера
1/3/2010, 4:53:03 AM
Чего-чего.. Лечится будем.
Значит так.
Если USB: https://www.hiren.info/pages/bootcd-on-usb-disk
Если CD: просто пишем образ на диск.
Образ, как обычно, Hirens Boot CD
Загружаемся с флешки или диска, идем в Browsers / File Managers, там есть Volkov Commander, включаем поддержку NTFS, идем на системный диск, открываем тот самый system.ini, стираем одну строку, сохраняем, идем и удаляем вышеупомянутый xxx_ ..exe
Значит так.
Если USB: https://www.hiren.info/pages/bootcd-on-usb-disk
Если CD: просто пишем образ на диск.
Образ, как обычно, Hirens Boot CD
Загружаемся с флешки или диска, идем в Browsers / File Managers, там есть Volkov Commander, включаем поддержку NTFS, идем на системный диск, открываем тот самый system.ini, стираем одну строку, сохраняем, идем и удаляем вышеупомянутый xxx_ ..exe
DELETED
Акула пера
1/3/2010, 4:58:20 AM
Хотя на дурака можно просто попробовать переименовать xxx_video ... и перезагрузится...
Astral
Мастер
1/3/2010, 5:02:47 AM
то, что для USB так же не открывает и не запускает ссылаясь на политику....
а переименовать где можно? я не смогу к нему прийти из-за опять же отсутствия доступа к правам администратора-пользователя (((
а переименовать где можно? я не смогу к нему прийти из-за опять же отсутствия доступа к правам администратора-пользователя (((
DELETED
Акула пера
1/3/2010, 5:05:26 AM
Кстати - таки безопасный режим загружается?
Astral
Мастер
1/3/2010, 5:06:22 AM
в безопасном режиме тоже самое (((
DELETED
Акула пера
1/3/2010, 5:07:23 AM
Администратором зайти можно или нет?
Astral
Мастер
1/3/2010, 5:09:11 AM
да, но там нт диспетчера задач (((
DELETED
Акула пера
1/3/2010, 5:13:44 AM
Да фиг с ним.
Попробуйте открыть любую программу, где есть пункт меню "файл-открыть". Там файл-открыть c:\windows\system32\cmd.exe - правой кнопкой - выполниьт - да-да-да-да-да.... :) Откроется?
под администратором, я имею ввиду
CODE 32
00:14:28,560 --> 00:14:30,559
Hello?
33
00:14:44,320 --> 00:14:46,319
Father?
34
00:14:52,479 --> 00:14:54,480
Father, are you OK?
upd:
CODE 439
00:56:04,159 --> 00:56:06,160
Hello? Hello!
440
00:56:07,159 --> 00:56:08,360
Hello!
441
00:56:08,440 --> 00:56:10,839
Hello! Hello!
442
00:56:18,600 --> 00:56:20,599
Shh...
upd: 28 days later...
upd: ВсЕм пРеВеД в эТоМ чАтЕ..
Короче, надоело мне тут висеть. Если есть желание - ПМ.
Попробуйте открыть любую программу, где есть пункт меню "файл-открыть". Там файл-открыть c:\windows\system32\cmd.exe - правой кнопкой - выполниьт - да-да-да-да-да.... :) Откроется?
под администратором, я имею ввиду
CODE 32
00:14:28,560 --> 00:14:30,559
Hello?
33
00:14:44,320 --> 00:14:46,319
Father?
34
00:14:52,479 --> 00:14:54,480
Father, are you OK?
upd:
CODE 439
00:56:04,159 --> 00:56:06,160
Hello? Hello!
440
00:56:07,159 --> 00:56:08,360
Hello!
441
00:56:08,440 --> 00:56:10,839
Hello! Hello!
442
00:56:18,600 --> 00:56:20,599
Shh...
upd: 28 days later...
upd: ВсЕм пРеВеД в эТоМ чАтЕ..
Короче, надоело мне тут висеть. Если есть желание - ПМ.
DELETED
Акула пера
1/4/2010, 12:30:46 AM
... запускается под администратором?