Запускаю вручную explorer.exe, а он сразу закрывается.
Прошу помочь
Запускаю вручную explorer.exe, а он сразу закрывается.
Прошу помочь
Последний раз редактировалось akalibr; 31.08.2011 в 16:14.
Уважаемый(ая) akalibr, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
AVZ 4.34
переделывайте логи последней версией avz.
Paula rhei.
Поддержать проект можно тут
Вот, как и просили.
Пожалуйста, посмотрите.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
В AVZ выполните скрипт:Код:O20 - Winlogon Notify: itcwlnp - i (file missing)
Код:begin ClearQuarantine; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\tcpwammlib.exe'); TerminateProcessByName('c:\windows\system32\macromadendt\ruxbhk.exe'); QuarantineFile('C:\Program Files\InfoTeCS\ViPNet Client\itccspbs.dll',''); QuarantineFile('C:\smsc.exe',''); QuarantineFile('C:\Windows\System32\Debug.dll',''); QuarantineFile('C:\WINDOWS\system32\mywcc110425.dll',''); QuarantineFile('C:\WINDOWS\system32\RrmstfC.cc3',''); QuarantineFile('C:\WINDOWS\cfdrive32.exe',''); QuarantineFile('C:\WINDOWS\8_Ss.dll',''); QuarantineFile('C:\WINDOWS\7_Ss.dll',''); QuarantineFile('C:\WINDOWS\6_Ss.dll',''); QuarantineFile('C:\WINDOWS\5_Ss.dll',''); QuarantineFile('C:\WINDOWS\4_Ss.dll',''); QuarantineFile('C:\WINDOWS\2_Ss.dll',''); QuarantineFile('C:\WINDOWS\1_Ss.dll',''); QuarantineFile('C:\WINDOWS\0_Ss.dll',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe',''); QuarantineFile('C:\Program Files\InfoTeCS\ViPNet Client\itccsp.dll',''); QuarantineFile('C:\Tcpz-x86.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\pfc.sys',''); QuarantineFile('C:\WINDOWS\system32\hello_tt.sys',''); SetServiceStart('itcsrf', 4); StopService('itcsrf'); DeleteService('itcsrf'); QuarantineFile('C:\WINDOWS\system32\drivers\itcsrf.sys',''); QuarantineFile('C:\WINDOWS\system32\acpi24.sys',''); SetServiceStart('Aeeu', 4); StopService('Aeeu'); QuarantineFile('C:\WINDOWS\system32\smsc.exe',''); SetServiceStart('WammSvc', 4); StopService('WammSvc'); QuarantineFile('C:\WINDOWS\system32\tcpwammlib.exe',''); SetServiceStart('mswordfortsvr', 4); StopService('mswordfortsvr'); DeleteService('Aeeu'); DeleteService('acpi24Drv'); DeleteService('WammSvc'); DeleteService('PrtSmanm'); DeleteService('mswordfortsvr'); QuarantineFile('C:\WINDOWS\system32\Macromadendt\ruxbhk.exe',''); QuarantineFile('C:\WINDOWS\Ati2evxx.exe',''); QuarantineFile('c:\windows\system32\tcpwammlib.exe',''); QuarantineFile('c:\windows\system32\macromadendt\ruxbhk.exe',''); QuarantineFile('c:\windows\ati2evxx.exe',''); DeleteFile('C:\WINDOWS\system32\Macromadendt\ruxbhk.exe'); DeleteFile('C:\WINDOWS\system32\tcpwammlib.exe'); DeleteFile('C:\WINDOWS\system32\smsc.exe'); DeleteFile('C:\WINDOWS\Ati2evxx.exe'); DeleteFile('C:\WINDOWS\system32\acpi24.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','games'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','games'); DeleteFile('C:\WINDOWS\0_Ss.dll'); DeleteFile('C:\WINDOWS\1_Ss.dll'); DeleteFile('C:\WINDOWS\2_Ss.dll'); DeleteFile('C:\WINDOWS\4_Ss.dll'); DeleteFile('C:\WINDOWS\5_Ss.dll'); DeleteFile('C:\WINDOWS\6_Ss.dll'); DeleteFile('C:\WINDOWS\7_Ss.dll'); DeleteFile('C:\WINDOWS\8_Ss.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex0\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex6\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex3\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Irmon\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex5\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex2\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ias\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex7\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex4\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Nwsapagent\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\NWCWorkstation\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSp\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Iprip\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\cfdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\RrmstfC.cc3'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediauCenterf\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\mywcc110425.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ccsnahh'); DeleteFile('C:\Windows\System32\Debug.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\DeBuGjrq\Parameters','ServiceDll'); DeleteFile('C:\smsc.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SysAssist'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки
Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
Файл сохранён как 110901_080917_quarantine_4e5f3dad7ba8a.zip
Размер файла 1016852
MD5 8f35f820d4ba9f0dc089b1130c8547f9
Пожалуйста
Последний раз редактировалось akalibr; 01.09.2011 в 12:54.
прошу помочь.
В AVZ выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('TCPZ', 4); StopService('TCPZ'); DeleteService('TCPZ'); QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки
Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Сделайте лог полного сканирования MBAM
Paula rhei.
Поддержать проект можно тут
А также
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файл сохранён как 110902_050138_quarantine_4e606332e1762.zip
Размер файла 16464
MD5 fdcbf40906239c05a49759de3068efa0
MBAM рантаймэрорит
Последний раз редактировалось akalibr; 02.09.2011 в 11:46.
поглядите, пожалуйста
c:\windows\System32\drivers\beep.sys восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\GQBazYkx.exe c:\windows\system32\tmpccbcj0.exe c:\windows\system32\FAXCFHVk.exe c:\windows\system32\tcpwamllib.exe Driver:: 123 123456 MediauCenterf MS Medial Controlc Centerg nex0 nex8 nex1 nex9 nex2 nex10 nex3 nex11 nex4 nex12 nex5 nex13 nex6 nex14 nex7 nex15 Tcpz-x86 WaeqSvc WaesSvc WaetSvc WaexSvc WaeySvc WaiaSvc WaibSvc WaicSvc WaidSvc WaifSvc WaigSvc olema WaiiSvc WaijSvc WaikSvc WailSvc WaimSvc start NetSvc:: nex0 nex1 nex2 nex3 nex4 nex5 nex6 nex7 nex8 nex9 nex10 nex11 nex12 nex13 nex14 nex15 WaeqSvc WaesSvc WaetSvc WaexSvc WaeySvc WaiaSvc WaibSvc WaicSvc WaidSvc WaifSvc WaigSvc olema WaiiSvc WaijSvc WaikSvc WailSvc WaimSvc start Folder:: c:\windows\system32\X Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "WaeqSvc"=- "WaesSvc"=- "WaetSvc"=- "WaexSvc"=- "WaeySvc"=- "WaiaSvc"=- "WaibSvc"=- "WaicSvc"=- "WaidSvc"=- "WaifSvc"=- "WaigSvc"=- "olema"=- "WaiiSvc"=- "WaijSvc"=- "WaikSvc"=- "WailSvc"=- "WaimSvc"=- "start"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Установите все новые обновления для Windows
Установите все обновления для MS SQL Server
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Я не могу это сделать - Эксплорер не работает. Как это можно сделать по другому. (Работаю через Total Commander)
Получилось.
explorer.exe так и не запустился, попытка установить SP3 завершилась ошибкой.
Последний раз редактировалось akalibr; 03.09.2011 в 10:27.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\GQBazYkx.exe c:\windows\system32\tmpccbcj0.exe c:\windows\system32\FAXCFHVk.exe c:\windows\system32\tcpwamllib.exe Driver:: Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал, приложил
Все, перестанавливаю систему.
Последний раз редактировалось akalibr; 03.09.2011 в 16:35.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 65
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\ati2evxx.exe - Trojan-PSW.Win32.QQPass.aidr ( DrWEB: Trojan.DownLoader4.51341, BitDefender: Trojan.Generic.6623578, AVAST4: Win32:Crypt-KFP [Trj] )
- c:\\windows\\system32\\tcpwammlib.exe - Worm.MSIL.Agent.hm ( DrWEB: Win32.HLLW.Siggen.1720, BitDefender: Trojan.Generic.7344411, AVAST4: Win32:Hupigon-OZJ [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) akalibr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.