Dr.Web ничего не видит, но там же явно что-то есть. Но вот что именно?!?
Dr.Web ничего не видит, но там же явно что-то есть. Но вот что именно?!?
Последний раз редактировалось Ивпал; 21.05.2008 в 16:31.
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ndetect.exe, O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll (file missing) O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\x\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\wowfx.dll',''); QuarantineFile('C:\WINDOWS\system32\wind32.exe',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\spoolvs.exe',''); QuarantineFile('C:\WINDOWS\system32\ndetect.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\Documents and Settings\Владимир\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll',''); QuarantineFile('C:\WINDOWS\system32\diperto73db-d83.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto7113-2c12.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto6ed0-69c6.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto6b5-3624.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto6b47-7240.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto5f80-38e3.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto5e65-305c.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto5e3a-3a5.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto5989-5256.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto4244-7d1.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto3b03-5306.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto35f8-2f4e.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto35a2-55df.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto30a4-6360.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto2c67-6ff.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto250c-6fbd.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto1e6-95c.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto1cdf-7822.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto19e8-50ff.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto1028-62f9.sys',''); QuarantineFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\pG25JBwG.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\pG25JBwG.sys'); DeleteFile('C:\WINDOWS\system32\diperto1028-62f9.sys'); DeleteFile('C:\WINDOWS\system32\diperto19e8-50ff.sys'); DeleteFile('C:\WINDOWS\system32\diperto1cdf-7822.sys'); DeleteFile('C:\WINDOWS\system32\diperto1e6-95c.sys'); DeleteFile('C:\WINDOWS\system32\diperto250c-6fbd.sys'); DeleteFile('C:\WINDOWS\system32\diperto2c67-6ff.sys'); DeleteFile('C:\WINDOWS\system32\diperto30a4-6360.sys'); DeleteFile('C:\WINDOWS\system32\diperto35a2-55df.sys'); DeleteFile('C:\WINDOWS\system32\diperto35f8-2f4e.sys'); DeleteFile('C:\WINDOWS\system32\diperto3b03-5306.sys'); DeleteFile('C:\WINDOWS\system32\diperto4244-7d1.sys'); DeleteFile('C:\WINDOWS\system32\diperto5989-5256.sys'); DeleteFile('C:\WINDOWS\system32\diperto5e3a-3a5.sys'); DeleteFile('C:\WINDOWS\system32\diperto5e65-305c.sys'); DeleteFile('C:\WINDOWS\system32\diperto6b47-7240.sys'); DeleteFile('C:\WINDOWS\system32\diperto6b5-3624.sys'); DeleteFile('C:\WINDOWS\system32\diperto6ed0-69c6.sys'); DeleteFile('C:\WINDOWS\system32\diperto7113-2c12.sys'); DeleteFile('C:\WINDOWS\system32\diperto73db-d83.sys'); DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll'); DeleteFile('C:\Documents and Settings\Владимир\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\ndetect.exe'); DeleteFile('C:\WINDOWS\system32\spoolvs.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\system32\wind32.exe'); DeleteFile('C:\WINDOWS\system32\wowfx.dll'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll'); DeleteFile('C:\WINDOWS\system32\x\svchost.exe:ext.exe:$DATA'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19817).
Скопируйте со здоровой системы или распакуйте из дистрибутива
C:\WINDOWS\System32\svchost.exe.
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
Как раз собрался дописать: Восстановление системы НЕ ОТКЛЮЧАЕТСЯ. При попытке отключить выдается сообщение: "ОШИБКА ВОССТАНОВЛЕНИЯ СИСТЕМЫ". Понимаю, что это мешает лечению. Но что же делать в такой ситуации?
Первым делом выполните это:
>> Скопируйте со здоровой системы или распакуйте из дистрибутива
>> C:\WINDOWS\System32\svchost.exe.
Перезагрузитесь и попробуйте отключить восстановление. Если таки не выйдет, пока пропустим, делайте все остальное.
I am not young enough to know everything...
Совет помог. Восстановление системы отключено. Новые логи...
Последний раз редактировалось Ивпал; 21.05.2008 в 16:31.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: cj helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Program Files\IE Extensions\cj.v2.dll (file missing) O4 - HKLM\..\Run: [WinMed] winmed.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Компьютер перезагрузится.Код:begin BC_DeleteSvc('diperto5f80-38e3'); BC_DeleteSvc('Google Online Search Service'); BC_DeleteSvc('FCI'); BC_DeleteFile('C:\WINDOWS\system32\winlugan.exe'); BC_DeleteFile('C:\WINDOWS\system32\diperto5f80-38e3.sys'); BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
Поищите winmed.exe через AVZ - Сервис - Поиск файлов,
если найдется - пришлите по правилам.
I am not young enough to know everything...
winmed.exe не обнаружен.
Новые логи...
Последний раз редактировалось Ивпал; 21.05.2008 в 16:31.
Логи чистые. Вот такой еще скриптик выполните:
и на этом закончим.Код:begin BC_DeleteSvc('asc3550p'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Уважаемый(ая) Ивпал, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.