Нет надписей на кнопках в Windows XP [not-a-virus:RiskTool.Win32.HideExec.r, , Trojan.Win32.FakeGina.do ]

[mike 1]

Сделайте новые логи AVZ и RSIT

[lonmi]

Вот:

- - - Добавлено - - -

RSIT забыл

[lonmi]

Бэн, ай нид хэлп ))).
Ап темы )

[lonmi]

Ребята-хелперы, а мне то чего делать? Уже 5 дней прошло и тема опять уплывает по страницам форума. Мой случай не лечится?

[mike 1]

Ребята-хелперы, а мне то чего делать? Уже 5 дней прошло и тема опять уплывает по страницам форума. Мой случай не лечится?

Извините за долгое ожидание.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Mjeeeq.exe','');
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\ujgieauf', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus', '*', true, ' ', 0, 0);
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Mjeeeq.exe','32');
 DeleteFile('C:\WINDOWS.0\system32\xtgina.dll','32');
 DeleteFile('C:\WINDOWS.0\System32\BeTwinServiceXP.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Start Menu\Programs\Startup\start0.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg','Mjeeeq');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\System','Windows Debugger 32');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe','C:\WINDOWS\system32\svchost.exe:*:Enabled:ipsec');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, ' ');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus', '*', true, ' ');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\ujgieauf', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\ujgieauf');
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\IBank');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus');
 DeleteService('BeTwinVideo');
 DeleteService('BeTwinSystem');
 DeleteService('BeTwinKeyboard');
 DeleteService('BeTwinMouse');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи AVZ, RSIT.

[lonmi]

Ооо. Спасибо Майк. Работаем.
Выполнил скрипт и снова как в предыдущих попытках после перезагрузки не запускается ругаясь на xtgina.dll. После восстановления в безопасном режиме, выполнил скрипт по созданию архива с карантином, но красная ссылка вверху не дает его загрузить, ругаясь на то что "такой файл уже загружен".

- - - Добавлено - - -

Новые логи:

- - - Добавлено - - -

Может не будем пока xtgina.dll трогать? А то никакого прогресса из-за этого. Может без нее скрипт сделать?

[mike 1]

К сожалению не получится т.к. этот файл заражен Trojan.Win32.FakeGina.do.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Попробуйте выполнить такой скрипт в AVZ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Mjeeeq.exe','');
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\ujgieauf', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus', '*', true, ' ', 0, 0);
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Mjeeeq.exe','32');
 DeleteFile('C:\WINDOWS.0\system32\xtgina.dll','32');
 DeleteFile('C:\WINDOWS.0\System32\BeTwinServiceXP.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Mjeeeq');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\System','Windows Debugger 32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','GinaDLL');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe','C:\WINDOWS\system32\svchost.exe:*:Enabled:ipsec');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\IBank', '*', true, ' ');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus', '*', true, ' ');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\ujgieauf', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\ujgieauf');
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\IBank');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\EMgTQGOSUus');
 DeleteService('BeTwinVideo');
 DeleteService('BeTwinSystem');
 DeleteService('BeTwinKeyboard');
 DeleteService('BeTwinMouse');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи AVZ, RSIT

[lonmi]

Ооо. Теперь скрипт выполнился и после перезагрузки, загрузился нормально. Выполнил скрипт по созданию архива карантина и при его пересылке не выдало сообщения, что такой файл уже загружен. Прилагаю новые логи:

[mike 1]

Ваш провайдер?

IP: 91.206.18.1
Город: Ангарск
Провайдер: Base Ltd.

Что с проблемой?

[lonmi]

Ваш провайдер?

Да. Это наш городской провайдер БЭЙС. 91.206.18.1 - это DNS его кажется.

Что с проблемой?

Надписей на кнопках по прежнему нет. Это проблемы уже винды? Может попробовать с установочного диска восстановление сделать?

[mike 1]

Сделайте лог UVS (http://virusinfo.info/showthread.php?t=121767). Если лог получиться большим выложите его на http://www.rghost.ru

[lonmi]

Ну и разнообразный же у вас инструментарий )). Вот:

[mike 1]

Проверьте целостность системных файлов. Для этого нажмите на клавиатуре Win+R, введите cmd, нажмите Enter, затем введите команду sfc /scannow и нажмите Enter. Плохого по логу UVS не вижу.

[lonmi]

Добрый день. При запуске указанной команды выскочило 2 окошка. Оба с надписью "Защита файлов Windows". Одно с прогрессбарром и кнопкой справа от нее, и прогресс не идет. Просто стоит. На кнопке надписи нет, по той же причине, по которой была создана тема. Во втором окне три кнопки, тоже без подписей и значок такой... Диск и привод нарисован. Похоже это предложение вставить установочный диск для поиска нужных файлов. Я так понял все-таки какие-то системные файлы накрылись или были удалены. Я в этом окне нажал кажется правую кнопку. Это был выход похоже. Что посоветуете?

[mike 1]

В некоторых случаях когда идет восстановление системных файлов может потребоваться диск с дистрибутивом Windows. Попробуйте вставить в привод диск с дистрибутивом Windows.

[lonmi]

Итак. Нашел я какой-то другой диск с XP. Запустил указанную команду и пошло сканирование. Наверно полчаса где-то. И после этого надписи на кнопках и вообще везде где их не было - появились!!! Я минут 5 улыбаясь лазил по разным окнам и проверял самые разные кнопки ))). В общем все заработало. Огромное вам спасибо, ребята.

[mike 1]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[lonmi]

Из лога следует что мне надо следующее обновить?:
Java(TM) 6 Update 17 v.6.0.170
Adobe Flash Player 10 ActiveX v.10.0.32.18
Adobe Reader 7.0 v.7.0.0

[mike 1]

Установите обновления:

Java(TM) 6 Update 17 v.6.0.170 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^
Adobe Flash Player 10 ActiveX v.10.0.32.18 Внимание! Скачать обновления
Adobe Reader 7.0 v.7.0.0 Внимание! Скачать обновления

Антивирус обновите по этой http://www.esetnod32.ru/download/home/trial/ ссылке.

[lonmi]

mike 1, обновил указанное. Спасибо за профессиональную помощь.