Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1772 1773 1774 1775 1776 1777 1778 1779 1780 1781 1782 ... 1784 След.
[ Закрыто] Нужна помощь в лечении
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2010 13:41:06
Пуск - выполнить - regedit
далее необходимо найти указанные ветки реестра.
находите указанные параметры, вызываете диалог - "изменить", вносите правильное значение.
Перейти
[ Закрыто] Нужна помощь в лечении
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2010 11:49:15
уточняю.

значение параметра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
"C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\fptHj9g.exe,\\?\globalroot\systemroot\system32\scAg8op.exe,"
заменить на это значение
"C:\WINDOWS\System32\userinit.exe,"

и, значение параметра,
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS
" rgryvt.dll" ->
заменить на это значение
""
Изменено: santy - 18.05.2010 11:49:44
Перейти
[ Закрыто] Нужна помощь в лечении
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2010 11:42:48
hosts чистый.

В безопасном режиме если сможете работать, то необходимо в regedit.exe заменить запись
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\fptHj9g.exe,\\?\globalroot\systemroot\system32\scAg8op.exe,"
вот на это значение
C:\WINDOWS\System32\userinit.exe,"
и, запись,
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = " rgryvt.dll" ->
на это значение ""
Перезапустить систему  сделать логи HJ, SysInspector
Если не сможе

Если запускается ESET NOD32, и если версия позволяет(>3.0.695), создайте загрузочный диск EsetSysRescue, загрузите с этого диска,
и выполните те же манипуляции с regedit.exe

Если невозможно будет создать Eset Sysrescue, найдите в сети ERD Commander 2005, создайте загрузочный диск, загрузитесь с него,
и выполните те же манипуляции с записями реестра через regedit.exe
Далее перегрузить систему и ппробуем создать логи с помощью HJ, SysInspector.
Перейти
Помогите, подцепил вирус!!!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2010 18:45:29
ORION, без обид, но я в разделе "обнаружение вредоносного кода" внимательно читаю только симптомы заражения, человека, который открыл тему, и логи программ, с помощью которых выполняется диагностика и лечение. В симптомах ничего не говорится про удаление userinit, тем более, что безопасный режим работает. Ждем логи.
Изменено: santy - 16.05.2010 18:51:00
Перейти
Меня взламали на сайте vkontakte.ru и www.mail.ru через скрипт или вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2010 14:44:34
ну, теперь вы все знаете об ldpinch, так что делайте правильные выводы.
Перейти
Меня взламали на сайте vkontakte.ru и www.mail.ru через скрипт или вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2010 12:19:53
логи сделайте с помощью Hijackthis, Sysinspector
и запостите на форум.
Перейти
Помогите, подцепил вирус!!!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2010 12:15:41
ORION, где вы увидели рекомендацию удалить userinit?
===
Если работает в безопасном режиме regedit.exe, проверьте запись в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Userinit в тексте должно быть: C:\WINDOWS\system32\userinit.exe,
и ничего лишнего.
===
т.е.
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
Перейти
Помогите, подцепил вирус!!!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2010 11:05:50
В безопасном режиме можете сделать логи с помощью программ: Hijackthis и SysInspector?
Скачать из инет отсюда:
http://www.hijackthis.de/downloads/HJTInstall.exe
http://download.eset.com/download/sysinspector/32/RUS/SysInspector.exe
===
Если работает в безопасном режиме regedit.exe, проверьте запись в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Userinit в тексте должно быть: C:\WINDOWS\system32\userinit.exe,
и ничего лишнего.
так же проверить
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр Shell, там должно быть значение "explorer.exe"
Изменено: santy - 16.05.2010 11:18:00
Перейти
Новый NOD и старая консоль, Как конфигурировать NOD32 4.2 со старой консоли
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.05.2010 20:06:04
Hanson, надо проверить на виртуалке.
Перейти
Нет доступа к сайту esetnod32.com, из-за заражения компьютера нет доступа к сайту nod32
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.05.2010 05:35:40
по логам все чисто. доступ к антивирусным сайтам восстановился?
Перейти
Пред. 1 ... 1772 1773 1774 1775 1776 1777 1778 1779 1780 1781 1782 ... 1784 След.