Вот собственно логи.
Вирус нарушил работу:
- не показывает значок ясыковой панели,
- не отображается значек безопасного извлечения USB устройста.
Вот собственно логи.
Вирус нарушил работу:
- не показывает значок ясыковой панели,
- не отображается значек безопасного извлечения USB устройста.
Последний раз редактировалось Rene-gad; 31.07.2008 в 15:37. Причина: заголовок темы
Архив с логами не открывается. Прикрепите его еще раз, пожалуйста, и сделайте лог исследования системы (п. 10 правил)
Сорь за долгое отсутствие...
Вот, что просили!
Нет, после такого долгого отсутствия надо все логи сделать заново. Кто там знает, что у вас за два месяца набежало.
профиксить:
Выполнить скрипт:Код:O2 - BHO: 158117 helper - {427b1fd8-2123-4334-a7d8-7a497363914b} - C:\WINDOWS\system32\158117\158117.dll (file missing) O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll (file missing) O2 - BHO: C:\WINDOWS\system32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\djki397g.dll (file missing) O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - swin32.dll (file missing) O20 - Winlogon Notify: winctrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O20 - Winlogon Notify: winnt32 - WinNt32.dll (file missing)Сделать новые логи. Загрузить карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\djki397g.dll',''); QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll',''); QuarantineFile('C:\WINDOWS\system32\158117\158117.dll',''); QuarantineFile('WinNt32.dll',''); QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys',''); DeleteService('sywtdxaz'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('tcpsr'); DeleteService('pvc41'); QuarantineFile('C:\WINDOWS\System32\Drivers\ipV30.sys',''); DeleteService('ipv30'); QuarantineFile('C:\WINDOWS\System32\Drivers\inT06.sys',''); DeleteService('inT06'); QuarantineFile('C:\WINDOWS\System32\Drivers\gyF28.sys',''); DeleteService('gyf28'); QuarantineFile('C:\WINDOWS\system32\Beep.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\gyF28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\inT06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ipV30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\pvC41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pvc85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\pwC52.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys'); DeleteFile('C:\WINDOWS\TEMP\winlogon.exe'); DeleteFile('WinNt32.dll'); BC_ImportAll; ExecuteSysClean; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот.. Карантин тоже выслал.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{3B7AC470-0402-4DB4-9EE2-D48A0BD21CD4}: NameServer = 85.255.115.76,85.255.112.167 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.76 85.255.112.167 O17 - HKLM\System\CS1\Services\Tcpip\..\{3B7AC470-0402-4DB4-9EE2-D48A0BD21CD4}: NameServer = 85.255.115.76,85.255.112.167 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.76 85.255.112.167 O17 - HKLM\System\CS2\Services\Tcpip\..\{3B7AC470-0402-4DB4-9EE2-D48A0BD21CD4}: NameServer = 85.255.115.76,85.255.112.167 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.76 85.255.112.167
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\pxgdslro.dll'); DeleteFile('C:\WINDOWS\system32\qcoapiso.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Гриша; 01.08.2008 в 11:25.
Ответ по ЛК:
ipV30.sys - Trojan-Dropper.Win32.Agent.stj
Beep.sys - чистый
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да, вообще-то нет. Просто Beep.sys возможно можно будет восстановить из карантина.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\system volume information\\_restore{ef56a841-9910-4b7e-8385-9e9023d4722d}\\rp1\\a0001126.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\system volume information\\_restore{ef56a841-9910-4b7e-8385-9e9023d4722d}\\rp1\\a0001127.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\system volume information\\_restore{ef56a841-9910-4b7e-8385-9e9023d4722d}\\rp1\\a0001128.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\system volume information\\_restore{ef56a841-9910-4b7e-8385-9e9023d4722d}\\rp1\\a0001129.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\system volume information\\_restore{ef56a841-9910-4b7e-8385-9e9023d4722d}\\rp1\\a0001130.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\windows\\system32\\drivers\\gyf28.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\windows\\system32\\drivers\\int06.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\windows\\system32\\drivers\\ipv30.sys - Trojan-Dropper.Win32.Agent.stj
Уважаемый(ая) StarAV, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.