Еле к вам пробился, долго рассказывать не могу, комп постаянно перезагружаеться...
Логи приложил...
Еле к вам пробился, долго рассказывать не могу, комп постаянно перезагружаеться...
Логи приложил...
P.S. У меня 2.5 часа до поезда... Нужно вылечиться, а то в этой деревне народ толком включать компы не может...
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: C:\WINDOWS\system32\jkd845jg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing) O2 - BHO: C:\WINDOWS\system32\d4ghggf4g.dll - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing) O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll (file missing) O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm (file missing) O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm (file missing) O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm (file missing) O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm (file missing) O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\jdgmeaz.dll O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\jdgmeaz.dll O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing) O22 - SharedTaskScheduler: JGhjddf9dtj - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\syslodr.exe',''); QuarantineFile('C:\WINDOWS\system32\mscomdiag.dll',''); QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll',''); QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll',''); QuarantineFile('C:\WINDOWS\mmall.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\Ofxp61.sys',''); QuarantineFile('C:\WINDOWS\system32\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\jdgmeaz.dll',''); QuarantineFile('C:\WINDOWS\system32\hash2.dll',''); QuarantineFile('C:\WINDOWS\exqnaner.dll',''); DeleteFile('C:\WINDOWS\system32\drivers\Ofxp61.sys'); DeleteFile('C:\WINDOWS\mmall.exe'); DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll'); DeleteFile('C:\WINDOWS\system32\jdgmeaz.dll'); DeleteFile('C:\WINDOWS\system32\jkd845jg.dll'); DeleteFile('C:\WINDOWS\system32\syslodr.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
выполните скрипт...
Код:begin BC_QrSvc('Axxs96'); BC_DeleteSvc('Microsoft Internet Explorer'); BC_DeleteSvc('Axxs96'); BC_DeleteSvc('Ofxp61'); BC_Activate; RebootWindows(true); end.
Установленный на компьютере DrWeb устарел, скачайте новую версию 4.44 с сайта http://download.drweb.com/win и установите.
карантин отправил
Выполните скрипт:
Сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\exqnaner.dll'); BC_DeleteFile('C:\WINDOWS\exqnaner.dll'); ExecuteSysClean; ClearHostsFile; BC_Activate; RebootWindows(true); end.
Добавлено через 3 минуты
Замените winlogon.exe оригинальным из дистрибутива.
Ваш видимо патченный, какой-то свежий вариант...
Последний раз редактировалось Bratez; 26.11.2007 в 17:14. Причина: Добавлено
I am not young enough to know everything...
C:\WINDOWS\system32\drivers\Ofxp61.sys Rootkit.Win32.Agent.pj
C:\WINDOWS\system32\jdgmeaz.dll Backdoor.Win32.Agent.adr
C:\WINDOWS\system32\syslodr.exe -Trojan.Crypt.AB
C:\WINDOWS\system32\mscomdiag.dll- чистый
C:\WINDOWS\system32\hash2.dll -чистый
C:\WINDOWS\exqnaner.dll -Zlob.gen94
1.) В дистрибутиве лежит в таком виде - WINLOGON.EX_ как его достать? (Или скиньте в ящик)Замените winlogon.exe оригинальным из дистрибутива.
Ваш видимо патченный, какой-то свежий вариант...
2.) winlogon у меня 2: 1- в систем32, 2 - систем32\дллкэш
Логи
ЁЁЁ, можно не спешить, все равно я на поезд уже опаздал
Затем сделайте повторно лог hijackthis и virusinfo_syscheckКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run'); DelBHO('a22ee12e-1dd1-11b2-8e19-e9ca130a0354'); DelCLSID('a22ee12e-1dd1-11b2-8e19-e9ca130a0354'); RebootWindows(true); end.
А с винлогоном что?
Запускайте из командной строки: Пуск | Выполнить | cmd | sfc/scannow
Утилите требуется инсталляционный диск с операционной системой.
Если не поможет совет rubin, то Пуск--выполнить--cmd
expand x:\i386\WINLOGON.EX_ y:\windows\system32\WINLOGON.EXe
x - буква CD, y - буква диска с windows xp
Для dllcache тоже самое.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не получаеться, говорит что диск не тот...Запускайте из командной строки: Пуск | Выполнить | cmd | sfc/scannow
Утилите требуется инсталляционный диск с операционной системой.
Тоже не хочет, говорит: не удаеться открыть конечный файлЕсли не поможет совет rubin, то Пуск--выполнить--cmd
expand x:\i386\WINLOGON.EX_ y:\windows\system32\WINLOGON.EXe
x - буква CD, y - буква диска с windows xp
Для dllcache тоже самое.
С:\windows\system32\WINLOGON.EXE
Может я просто воспользуюсь востановлением системы? (На моём компакте с ХР, при установке виндов, он производит поиск предыдуших версий виндов и там можно нажать R)
P.S. Или я чевой то натупил?
так тоже можно ...Может я просто воспользуюсь востановлением системы? (На моём компакте с ХР, при установке виндов, он производит поиск предыдуших версий виндов и там можно нажать R)
Ну и слава ктлуху... Да не разбудят его речи мои...
Всем спасибо за помощь!!!
Упс! Если еще не поздно:
C:\WINDOWS\system32\mscomdiag.dll - вчера был чистый, а сегодня определяется как Trojan.Win32.DNSChanger.aee. Надо удалять. Вот скрипт:
И пофиксить в HijackThis, если останется:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\mscomdiag.dll'); BC_DeleteFile('C:\WINDOWS\system32\mscomdiag.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Код:O20 - AppInit_DLLs: C:\WINDOWS\system32\mscomdiag.dll
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\exqnaner.dll - Trojan.Win32.Obfuscated.gx (DrWEB: Trojan.DownLoader.37437)
- c:\\windows\\system32\\drivers\\ofxp61.sys - Rootkit.Win32.Agent.pj (DrWEB: Trojan.NtRootKit.490)
- c:\\windows\\system32\\jdgmeaz.dll - Backdoor.Win32.Agent.adr (DrWEB: Trojan.Spambot.252
- c:\\windows\\system32\\mscomdiag.dll - Trojan.Win32.DNSChanger.aee
- c:\\windows\\system32\\syslodr.exe - Trojan-Downloader.Win32.Small.gui (DrWEB: Trojan.DownLoader.3743
Уважаемый(ая) mirage11, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.