А также постоянно вылезает окно "Необходима перезагрузка системы"
Посмотрите пожалуста
А также постоянно вылезает окно "Необходима перезагрузка системы"
Посмотрите пожалуста
Последний раз редактировалось Dunkelheit; 06.06.2008 в 07:29.
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\Temp\gold.exe',''); QuarantineFile('C:\WINDOWS\efvr.exe',''); QuarantineFile('C:\WINDOWS\Temp\IcnOvrly.dll',''); QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll',''); QuarantineFile('C:\WINDOWS\nldfmtapowe.dll',''); QuarantineFile('C:\WINDOWS\system32\guvt472.exe',''); QuarantineFile('C:\WINDOWS\taskmon.exe',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe',''); QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll',''); QuarantineFile('C:\WINDOWS\system32\djki397g.dll',''); QuarantineFile('C:\WINDOWS\pxgdslro.dll',''); QuarantineFile('C:\WINDOWS\herjek.exe',''); QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\Documents and Settings\Пользователь\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Chk83.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('c:\windows\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Xdg50.sys',''); QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\0PgHiNDa.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); QuarantineFile('C:\WINDOWS\gnowmebk.dll',''); QuarantineFile('C:\Documents and Settings\Пользователь\ie_updates3r.exe',''); QuarantineFile('c:\autoex.dll',''); DeleteFile('c:\autoex.dll'); DeleteFile('C:\Documents and Settings\Пользователь\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\gnowmebk.dll'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\0PgHiNDa.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Xdg50.sys'); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Chk83.sys'); DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe'); DeleteFile('C:\Documents and Settings\Пользователь\cftmon.exe'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\TEMP\winlagon.exe'); DeleteFile('C:\WINDOWS\herjek.exe'); DeleteFile('C:\WINDOWS\pxgdslro.dll'); DeleteFile('C:\WINDOWS\system32\djki397g.dll'); DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll'); DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\taskmon.exe'); DeleteFile('C:\WINDOWS\system32\guvt472.exe'); DeleteFile('C:\WINDOWS\nldfmtapowe.dll'); DeleteFile('C:\WINDOWS\system32\ipv6monl.dll'); DeleteFile('C:\WINDOWS\Temp\IcnOvrly.dll'); DeleteFile('C:\WINDOWS\efvr.exe'); DeleteFile('C:\WINDOWS\Temp\gold.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}'); DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}'); DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}'); DelBHO('{13B80BBC-97B5-4124-A5D8-72C3390A095D}'); BC_ImportALL; BC_DeleteSvc('Chk83'); BC_DeleteSvc('Xbo24'); ExecuteSysClean; ExecuteRepair(9); ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=23475).
Сделайте новые логи.
I am not young enough to know everything...
Восстановление системы не мог отключить, т.к. при заходе в свойства системы выдавалась ошибка.
Карантин загрузил.
Логи во вложении.
Последний раз редактировалось Dunkelheit; 06.06.2008 в 07:29.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\guvt472.exe" O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users\Документы\Settings\abc32.dll (file missing) O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
Компьютер перезагрузится.Код:begin ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
После этого отключите восстановление - уже должно получиться.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Восстановление отключилось.
Логи повторяю.
Последний раз редактировалось Dunkelheit; 06.06.2008 в 07:29.
Пофиксить
В логах чисто,жалобы есть?Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{435CB88B-ED83-40F8-A5BC-B2CC9807437B}: NameServer = 85.255.113.147,85.255.112.138 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.138 O17 - HKLM\System\CS1\Services\Tcpip\..\{435CB88B-ED83-40F8-A5BC-B2CC9807437B}: NameServer = 85.255.113.147,85.255.112.138 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.138 O17 - HKLM\System\CS2\Services\Tcpip\..\{435CB88B-ED83-40F8-A5BC-B2CC9807437B}: NameServer = 85.255.113.147,85.255.112.138 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.138
Пофиксил.
Сейчас посмотрел, нормально работает всё без нареканий
Большое спасибо всем
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Уважаемый(ая) Dunkelheit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.