Здраствуйте!
Не загружаеться обычный режим винды, сделал логи из безопасного.
PS.
Отключить восстановление системы не удалось...
Здраствуйте!
Не загружаеться обычный режим винды, сделал логи из безопасного.
PS.
Отключить восстановление системы не удалось...
Последний раз редактировалось 44779; 26.05.2008 в 17:48.
Ну и зоопарк
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Sxd62.sys\0000', 'CSConfigFlags', '1'); QuarantineFile('C:\WINDOWS\Temp\iframestat.exe','');QuarantineFile('C:\WINDOWS\system32\hkco526.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\Jpc40.sys',''); QuarantineFile('C:\Program Files\tmp-1460014209.exe',''); QuarantineFile('msindc.dll',''); QuarantineFile('c:\autoex.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qnj38.sys ',' '); QuarantineFile('C:\WINDOWS\system32\luapvs.dll',''); QuarantineFile('xlibgfl254.dll',''); QuarantineFile('hgGwUnOf.dll',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\sysmgr.exe',''); QuarantineFile('C:\WINDOWS\system32\qnmrapcn.exe',''); QuarantineFile('C:\WINDOWS\mrofinu27.exe',''); QuarantineFile('C:\WINDOWS\System32\wowfx.dll',''); QuarantineFile('C:\WINDOWS\System32\ntos.exe',''); QuarantineFile('C:\WINDOWS\System32\maxpaynow1.exe',''); QuarantineFile('C:\WINDOWS\System32\iyhljxir.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\ctghifub\yropcvar.exe',''); QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34C.tmp srv',''); QuarantineFile('C:\Documents and Settings\я\ie_updates3r.exe',''); QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\1893095943.exe',''); QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34B.tmp srv',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd62.sys',''); QuarantineFile('Qnj38.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\ssqNFYPG.dll',''); QuarantineFile('C:\WINDOWS\System32\hgGwUnOf.dll',''); QuarantineFile('c:\windows\system32\drivers\spools.exe',''); TerminateProcessByName('c:\windows\system32\drivers\spools.exe'); DeleteService('Sxd62'); DeleteService('Schedule'); DeleteService('GoogleCryptSvc'); DeleteService('Google Online Services'); DeleteService('FastUserSwitchingCompatibilityWmiApSrv'); DeleteService('FastUserSwitchingCompatibilityThemes'); DeleteFile('c:\windows\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\System32\hgGwUnOf.dll'); DeleteFile('C:\WINDOWS\System32\ssqNFYPG.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('Qnj38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Sxd62.sys'); DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34B.tmp srv'); DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\1893095943.exe'); DeleteFile('C:\Documents and Settings\я\ie_updates3r.exe'); DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34C.tmp srv'); DeleteFile('C:\WINDOWS\System32\Drivers\Qnj38.sys '); DeleteFile('C:\Documents and Settings\All Users\Application Data\ctghifub\yropcvar.exe'); DeleteFile('C:\Documents and Settings\Администратор\cftmon.exe'); DeleteFile('C:\WINDOWS\System32\iyhljxir.dll'); DeleteFile('C:\WINDOWS\System32\maxpaynow1.exe'); DeleteFile('C:\WINDOWS\System32\ntos.exe'); DeleteFile('C:\WINDOWS\System32\wind32.exe'); DeleteFile('C:\WINDOWS\System32\wowfx.dll'); DeleteFile('C:\WINDOWS\mrofinu27.exe'); DeleteFile('C:\WINDOWS\system32\qnmrapcn.exe'); DeleteFile('C:\WINDOWS\system32\sysmgr.exe'); DeleteFile('WLCtrl32.dll'); DeleteFile('hgGwUnOf.dll'); DeleteFile('xlibgfl254.dll'); DeleteFile('C:\WINDOWS\system32\luapvs.dll'); DeleteFile('c:\autoex.dll'); DeleteFile('C:\Program Files\tmp-1460014209.exe'); DeleteFile('C:\WINDOWS\system32\drivers\Jpc40.sys'); DeleteFile('C:\WINDOWS\system32\hkco526.exe'); DeleteFile('C:\WINDOWS\Temp\iframestat.exe'); DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}'); DelBHO('{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}'); DelBHO('{06480563-2EBE-4899-94FE-46FFAAF270B5}'); DelBHO('{EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9}'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(1 ); ExecuteRepair(6 ); ExecuteRepair(17 ); ExecuteRepair(11 ); RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21555
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Последний раз редактировалось Гриша; 15.04.2008 в 17:27.
После перезагрузки проснулся спайдер и удалил пару вирусов, но експлорер не загрузился... Пришлось через диспетчер задач загрузить. Карантин выслал. Вот новые логи.
Файл сохранён как 080415_085928_virus_4804b4c09325a.zip
Размер файла 1344065
MD5 4978de1784a4656ed6e7e6b5c6de3aaa
Последний раз редактировалось 44779; 26.05.2008 в 17:48.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: (no name) - {B38A8D6B-2AB0-4502-AEA6-67AA03C4A102} - C:\WINDOWS\System32\ssqNFYPG.dll (file missing) O2 - BHO: (no name) - {EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9} - C:\WINDOWS\System32\hgGwUnOf.dll (file missing) O2 - BHO: Min stor proj. - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing) O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\System32\alt.exe.exe O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\я\cftmon.exe O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\я\cftmon.exe O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe O4 - HKCU\..\Run: [kavir] C:\WINDOWS\kavir.exe O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\System32\spoolvs.exe O4 - HKCU\..\Run: [rxyswntr] C:\WINDOWS\system32\gnejklml.exe O20 - Winlogon Notify: hgGwUnOf - hgGwUnOf.dll (file missing) O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll O21 - SSODL: ChkMon - {04ec143d-5248-462d-abb6-a831e6905809} - C:\WINDOWS\Installer\{04ec143d-5248-462d-abb6-a831e6905809}\ChkMon.dll (file missing)
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll',''); QuarantineFile('C:\WINDOWS\System32\ntos.exe',''); QuarantineFile('C:\WINDOWS\System32\iSecurity.cpl',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd62.sys',''); QuarantineFile('C:\WINDOWS\taskmon.exe',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\gnejklml.exe',''); DeleteFile('C:\WINDOWS\system32\gnejklml.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Sxd62.sys'); DeleteFile('C:\Documents and Settings\я\cftmon.exe'); DeleteFile('C:\WINDOWS\System32\alt.exe.exe'); DeleteFile('C:\WINDOWS\System32\hgGwUnOf.dll'); DeleteFile('C:\WINDOWS\System32\ntos.exe'); BC_ImportDeletedList; BC_DeleteSvc('Qnj38'); BC_DeleteSvc('asc3550p'); ExecuteSysClean; ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Карантин:
iframestat.exe-Email-Worm.Win32.Zhelatin.wu
hkco526.exe-Trojan-Downloader.Win32.Mutant.jz
Jpc40.sys-Rootkit.Win32.Agent.aih
tmp-1460014209.exe-Trojan-Downloader.Win32.Small.ivo
msindc.dll-Trojan-Downloader.Win32.BHO.ev
autoex.dll-not-a-virus:AdWare.Win32.BHO.ajq
Qnj38.sys-Rootkit.Win32.Agent.aag
hgGwUnOf.dll-свежий
WLCtrl32.dll-Trojan-Downloader.Win32.Mutant.hx
sysmgr.exe-свежий
qnmrapcn.exe-свежий
mrofinu27.exe-Trojan-Downloader.Win32.Homles.bf
wowfx.dll-Trojan.Win32.Qhost.abh
ntos.exe-Trojan-Spy.Win32.Zbot.axs
maxpaynow1.exe-Trojan-Downloader.Win32.Tibs.yo
iyhljxir.dll-not-a-virus:AdWare.Win32.Virtumonde.nvf
cftmon.exe-Trojan-Downloader.Win32.Small.trp
yropcvar.exe-свежий
ssqNFYPG.dll-свежий
spools.exe-Trojan-Downloader.Win32.Small.trp
Веселая семейка
И неудивительно:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
I am not young enough to know everything...
спасибо
надо ехать...
до завтра
Привет, это сного я)
тут у меня есть два карантина: 15.04.08 и 16.04.08.
какой лучьше отправить?
Последний раз редактировалось 44779; 26.05.2008 в 17:48.
Оба давайте. Логи сейчас гляну.
Добавлено через 6 минут
1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\Drivers\Sxd62.sys
и сделайте им Force Delete.
3. Пофиксите в HijackThis:
4. Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Sxd62.sys'); DeleteFile('C:\WINDOWS\system32\hkco463.exe'); DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe'); BC_ImportDeletedList; BC_DeleteSvc('Sxd62'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новый лог syscheck (п.10 правил).
Последний раз редактировалось Bratez; 16.04.2008 в 12:01. Причина: Добавлено
I am not young enough to know everything...
а вот и лог
Последний раз редактировалось 44779; 26.05.2008 в 17:48.
Отлично! Главного врага победили, осталось совсем чуть-чуть
Выполните скрипт:
и сделайте еще раз логи, начиная с п.10 правил (надеюсь, последний).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\taskmon.exe'); DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll'); DeleteFile('C:\WINDOWS\System32\iSecurity.cpl'); DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
вот
Последний раз редактировалось 44779; 26.05.2008 в 17:48.
Все нормально, осталось только пофиксить в HijackThis:
Рекомендуется отключить все что вам не нужно из этого:Код:O2 - BHO: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\System32\ISECUR~1.CPL (file missing) O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor O20 - AppInit_DLLs: iSecurity.cpl O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\System32\ISECUR~1.CPL (file missing)
И как можно скорее установить сервис-паки, иначе будете постоянным клиентомКод:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
I am not young enough to know everything...
Всем ОГРОМНЫЙ РЕСПЕКТ!!!
но мне тут еще один комп принесли
Откройте новую тему.
ок
И ТЕБЕ БОЛЬШОЕ СПАСИБО!!!
пока SP2 поставлю на этот тазик, а потом уже за другой буду браться...
Уважаемый(ая) 44779, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.