Проблема после информера - Форум технической поддержки ESET NOD32

Сообщений: 57

Баллов: 45

Регистрация: 12.05.2010

Размещено 12.05.2010 01:44:54

Проблемка.
Подхватих информер, избавился от него с помощью кодов в инете
Остались трояны( как я полагаю)
вот и сама проблема( выходит при входе в польз.)

И автозагрузки( исправил паинтом чтоб всё поместилось)

нод не ищет. точнее не находит...
помогите(очень не хочу переустанавливать виндоус)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.05.2010 07:24:11

логи сделайте с помощью программ: Hijackthis, SysInspector, malwarebytes (быстрое сканирование системы).
логи запостить на форум.

Изменено: santy - 12.05.2010 07:25:08

[ Как создать образ автозапуска? ]

Сообщений: 57

Баллов: 45

Регистрация: 12.05.2010

Размещено 12.05.2010 18:23:23

Вот он. если я что-то сделал не так напишите. я сделаю правильно

п.с. считаю себя ламмером)

Прикрепленные файлы

лог.zip (153.13 КБ)

Сообщений: 30

Баллов: 15

Регистрация: 16.03.2010

Размещено 12.05.2010 18:48:09

Тимур Камалиев советую вам обновить антивирус до версии 4.2 здесь

Сообщений: 57

Баллов: 45

Регистрация: 12.05.2010

Размещено 12.05.2010 18:50:21

что после этого изменится?

Сообщений: 30

Баллов: 15

Регистрация: 16.03.2010

Размещено 12.05.2010 19:34:18

Тимур Камалиев сделайте лог HiJackThis 2.0.4

Сообщений: 57

Баллов: 45

Регистрация: 12.05.2010

Размещено 12.05.2010 19:39:41

как просили.

Прикрепленные файлы

hijackthis.log (9.08 КБ)

Сообщений: 30

Баллов: 15

Регистрация: 16.03.2010

Размещено 12.05.2010 19:53:53

Пофиксите в HijackThis:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 12.05.2010 19:56:04

В общем...

Найдите файлы
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\BhrXwC2.exe

Запакуйте их в архив, установите пароль infected и отправьте на адрес [email protected]
Удалите данные файлы!

Далее перезапуск Пк, зайдите в безопасный режим (До загрузки Windows нажать кнопку F8)
Проследовать в папку
С:\windows\temp\ - и все с нее удалить!

Загрузиться в нормальном режиме!

Далее, Нажимаем Пуск-Выполнить набираем regedit
Запустится редактор реестра, далее добираемся до ветки
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Находим там 2 ключа
Shell Explorer.exe
и
Userinit C:\WINDOWS\system32\userinit.exe,

Делаем следуюющее:
Правой кнопкой миши по ключу Shell выбираем изменить, удаляем
rundll32.exe srnh.lto iqfnr

Далее правой кнопкой миши по ключу Userinit выбираем изменить, удаляем
\\?\globalroot\systemroot\system32\BhrXwC2.exe (После C:\WINDOWS\system32\userinit.exe, должна стоять запятая!)

Также вопрос, есть ли доступ к www.eset.com? Если нету выполнить команду route -f и перепустить ПК. Обновите антивирус и полный скан ПК! Будут вопросы пишите в личку.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.05.2010 20:04:28

так же пофиксить вот эти строки:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\BhrXwC2.exe,
O4 - HKLM\. .\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

перегрузите систему, добавьте новый лог HJ.

скачайте отсюда :
http://www.malwarebytes.org/mbam.php
free version malwarebytes,
установите, обновите базы, запустите программу, выполните быстрое сканирование, лог запостите на форум.
===
выполните рекомендации ZloyDi.
+ новые логи HJ.

Изменено: santy - 12.05.2010 20:08:10

[ Как создать образ автозапуска? ]

Проблема после информера , последствия информера