Доброго времени суток.
Такая проблема подцепил триппер порно баннер, просит внести деньги через мультикассу на номер 89854360023 в размере 500 р.
Зашел через Live CD подредактировал файл hosts там была одна запись ввиде какой то 1.
Ребутнулся и тыкнув на учетку администратора (она одна на ПК) зашел в систему.
Касперский нашел этот самый баннер по пути c:\users\администратор\AppData\Local\Opera\Opera\Temporary_downloads и собственно бахнул, но попросил ребутнутся. Система ругнулась на какой то файл ole32.dll по моему и перезагрузилась.
Сейчас обнаружил что не запускается и его даже нет при нажатии ctrl+alt+delete диспетчера задач.
При вводе в строке выполнить taskmgr выходит калькулятор.
Лог сделал в AVZ вот собственно ссылка http://ifolder.ru/21739012 подскажите как удалить полностью заразу и ее последствия?
Временные папки и все папки temp, а также весь кэш оперы отчистил.
ОС 7 x64

Добрый день.

Запускаем редактор реестра (набрать пуск-выполнить - regedit и нажать Enter) находим
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="путь_к_файлу"
если есть - удаляем параметр Shell

Затем ищем [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="путь_к_файлу"
и изменяем параметр на Explorer.exe

Важно! При редактировании реестра внимательно смотреть какой параметр Shell удалять, а какой править!

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2001', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteRepair(9);
ExecuteRepair(11);
RebootWindows(true);
end.

Приложите логи virusinfo_syscure.zip, virusinfo_syscheck.zip антивирусной утилиты AVZ версии 4.35 - базы обновите,
log.txt, info.txt от утилиты RSIT

maniy77,
Спасибо приду домой, вечерком все сделаю, подскажите пож-ста согласно логу от AVZ там написано что у меня включен автозапуск, c$, а также IE хотя я его отключил в установке компонентов Windows, так как же он тогда работает?

включен автозапуск »
у вас разрешен автозапуск программ с CDROM
что касается остального, делайте логи - все просмотрим, пролечим, закроем потенциальные уязвимости и откорректируем безопасность по вашему желанию
зловреды могут включать потенциально опасные службы Windows, разрешают отправку сообщения удаленному помощнику, блокируют реестр, диспечер задач..вобщем, надо смотреть логи

смените важные пароли!

maniy77,
Вы говорите что поменять значение и смотреть какой именно Shell я удаляю, а какой правлю, но у меня он там один и так со значением explorer.exe
Видимо менять ничего не надо или надо?
В реестре было значение calc.exe я его поменял на taskmgr.exe, но теперь пишет вот такую ошибку http://rghost.ru/4242115/image.png
Как теперь вернуть диспетчер?

maniy77,
Выполнил данный скрипт, ноутбук все закрыл и ребутнулся, скажите для чего он и что он делает?

Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Блокировка диспетчера задач
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Обнаружен отладчик системного процесса

Вот это все хочу исправить как это сделать?

Вот собственно лог http://exfile.ru/155776

Скачайте AVZ v4.35 (http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip) и подготовьте логи по правилам раздела (http://forum.oszone.net/thread-98169.html)


Скачайте RSITx64 (http://www.virusnet.info/random/RSITx64.exe) или с зеркала (http://images.malwareremoval.com/random/RSITx64.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Вот новые логи http://rghost.ru/4243249

zirreX,
Лог Rsit выше

Прикрепите логи virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG в AVZ.

zirreX,
Лог Rsit выше »
Вы выложили лог hijackthis, нужны логи RSIT.
Прикрепите полученные логи log.txt и info.txt.

Я вам не смогу помочь, если вы не выложите нужные мне логи.
В реестре было значение calc.exe я его поменял на taskmgr.exe »
что за самодеятельность? подробнее о том, где и чего меняли
но у меня он там один »
замечательно, так и должно быть
Выполнил данный скрипт, ноутбук все закрыл и ребутнулся, скажите для чего он и что он делает? »
скрипт исправлял вот это Мастер поиска и устранения проблем
>> Блокировка диспетчера задач
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Обнаружен отладчик системного процесса »

Пожалуйста, выложите логи сюда (прикрепите к сообщению!) Не заливайте на обменники

zirreX, maniy77,
Я сранительно не давно на этом форуме, поэтому хочу спросить, как к сообщению прикрепить логи?

И у меня вопрос, как это AVZ мне выдал лог в котором он пишет про IE если я его удалил как компонент windows?
Как его вапще удалить?

как к сообщению прикрепить логи? »
Справа от окна для сообщения есть кнопка " Прикрепить файл" при нажатии откроется еще окно с перечислением видов файлов которые вы можете прикрепить и кнопки " Обзор" для поиска файла который вы желаете прикрепить.

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Так логи Combofix выложу вечером, так как ноут дома...
Вот логи avz

А насчет IE не кто не подскажет?

iskander-k,
Вот собственно лог сделанный combofix

А почему лог обрезан ? не переживайте секретных ваших данных там не может быть.
И лог АВЗ тоже не тот - нужны зип-папки из папки LOG. Внимательно читайте правила.
И что с проблемой ?

Да как таковых проблем уже нету, я просто посчитал нужным провериться до конца, может остались какие то остатки зловреда...
Не знаю, вот такой лог был в папке C:\ComboFix.txt
А avz как сделать лог? Я запускаю сканирование, после этого захожу файл\сохранить протокол, правильно?
Ну и вот сюда выложил...может сервис на форуме подглючивает? Может выложить лог на стороний файлообменик?

А avz как сделать лог? »

http://forum.oszone.net/post-717373-2.html пункт первый можете порпустить

maniy77,
Спасибо, приду домой сделаю.
Только у меня нету IE и вапще уже который раз спрашиваю, как его можно удалить навсегда?

IE входит в комплект операционных систем семейства Windows, зачем удалять? На сегодняшний день последней стабильной версией браузера является Internet Explorer 8. Если не нравится, пользуйтесь другим браузером

maniy77,
Затем, потому что эта дыра через которую сочиться вирусня!
Насчет стабильности уж точно сказать не могу, так как у меня в домене 1500 пользователей и многие сидят на IE и геморра каждый день хватает...
Ошибка сценария и прочее херня...