Не загружаются программы, компьютер тормозит...
Заранее спасибо...
Вот логи:
Не загружаются программы, компьютер тормозит...
Заранее спасибо...
Вот логи:
Последний раз редактировалось DAV; 10.06.2008 в 19:30.
Похоже, что операционка не понимает, что такое .exe файлы...
Отключите восстановление системы, как написано в правилах!
Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Xej26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winin73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winci40.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wdi26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vch51.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nua84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ngx48.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\asc3550p.sys',''); QuarantineFile('C:\Documents and Settings\GLAVBUH\ie_updates3r.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\WINDOWS\system32\oobez.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winry51.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Winry51.sys'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\Documents and Settings\GLAVBUH\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\asc3550p.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ngx48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nua84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pvb84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qvb61.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vch51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wdi26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winci40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winin73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xej26.sys'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Xej26'); BC_DeleteSvc('Winin73'); BC_DeleteSvc('Winci40'); BC_DeleteSvc('Wdi26'); BC_DeleteSvc('Vch51'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Qvb61'); BC_DeleteSvc('Pvb84'); BC_DeleteSvc('Ngx48'); BC_DeleteSvc('Nua84'); BC_DeleteSvc('asc3550p'); BC_DeleteSvc('Winry51'); BC_DeleteSvc('Schedule'); BC_DeleteSvc('Google Online Services'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; ExecuteRepair(1); ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24354 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи и прикрепите еще boot_clr.log из папки AVZ.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Логи и карантин отослал, файл boot_clr.log я не нашел.
Последний раз редактировалось DAV; 11.06.2008 в 11:03.
В System32 постоянно создаются файлы WinCtrl32.dl_ и WinCtrl32.dll...
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing) O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\GLAVBUH\svchost.exe O4 - HKUS\S-1-5-21-1645522239-1078145449-1417001333-1003\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe (User '?') O4 - HKUS\S-1-5-21-1645522239-1078145449-1417001333-1003\..\Run: [winlogon] C:\Documents and Settings\GLAVBUH\svchost.exe (User '?') O4 - S-1-5-21-1645522239-1078145449-1417001333-1003 Startup: userinit.exe (User '?') O4 - Startup: userinit.exe O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Winry51'); SetServiceStart('Winry51', 4); DeleteFile('C:\WINDOWS\system32\Drivers\Winry51.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dl_'); DeleteFile('C:\Documents and Settings\GLAVBUH\svchost.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Xej26'); BC_DeleteSvc('Winin73'); BC_DeleteSvc('Winci40'); BC_DeleteSvc('Wdi26'); BC_DeleteSvc('Vch51'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Qvb61'); BC_DeleteSvc('Pvb84'); BC_DeleteSvc('Nua84'); BC_DeleteSvc('Ngx48'); BC_DeleteSvc('asc3550p'); BC_DeleteSvc('Winry51'); BC_DeleteSvc('Schedule'); BC_DeleteSvc('NtmsSvcMSIServer'); BC_DeleteSvc('Google Online Services'); BC_Activate; ExecuteRepair(1); ExecuteRepair(17); RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Не фиксется - заблокировано редактирование реестра.
Вход выполнен под администратором.
Попробуйте вначале скрипт, потом фикс.
Добавлено через 2 минуты
После фикса в таком случае не забудьте перезагрузиться.
Последний раз редактировалось Bratez; 10.06.2008 в 17:17. Причина: Добавлено
I am not young enough to know everything...
Пофиксил, выполнил скрипт, перезагрузился...
Файлы WinCtrl32.dl_ и WinCtrl32.dll остались...
Последний раз редактировалось DAV; 11.06.2008 в 14:48.
Еще...
Последний раз редактировалось DAV; 11.06.2008 в 14:48.
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winry51.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\Drivers\Winry51.sys'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\Documents and Settings\GLAVBUH\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\asc3550p.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ngx48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nua84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pvb84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qvb61.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vch51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wdi26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winci40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winin73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xej26.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dl_'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Xej26'); BC_DeleteSvc('Winin73'); BC_DeleteSvc('Winci40'); BC_DeleteSvc('Wdi26'); BC_DeleteSvc('Vch51'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Qvb61'); BC_DeleteSvc('Pvb84'); BC_DeleteSvc('Ngx48'); BC_DeleteSvc('Nua84'); BC_DeleteSvc('asc3550p'); BC_DeleteSvc('Winry51'); BC_DeleteSvc('Schedule'); BC_DeleteSvc('Google Online Services'); BC_DeleteSvc('NtmsSvcMSIServer'); BC_Activate; ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите скопированный Вами в IceSword файл в архиве с паролем virus (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24354 ).
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Логи ...
Последний раз редактировалось DAV; 11.06.2008 в 16:43.
У Вас, видимо, проблемы с реестром. Какие у Вас права доступа к реестру? Писать туда можете?
Скопируйте нижеприведенный код в текстовый файл и сохраните с расширением .reg
Потом запустите его и согласитесь с добавлением в реестр.
Помогло с запуском файлов?Код:Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.exe] @="exefile" "Content Type"="application/x-msdownload" [HKEY_CLASSES_ROOT\.exe\PersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" [HKEY_CLASSES_ROOT\exefile] @="Application" "EditFlags"=hex:38,07,00,00 "TileInfo"="prop:FileDescription;Company;FileVersion" "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size" [HKEY_CLASSES_ROOT\exefile\DefaultIcon] @="%1" [HKEY_CLASSES_ROOT\exefile\shell] [HKEY_CLASSES_ROOT\exefile\shell\open] "EditFlags"=hex:00,00,00,00 [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\exefile\shell\runas] [HKEY_CLASSES_ROOT\exefile\shell\runas\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\exefile\shellex] [HKEY_CLASSES_ROOT\exefile\shellex\DropHandler] @="{86C86720-42A0-1069-A2E8-08002B30309D}" [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers] [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser] @="{09A63660-16F9-11d0-B1DF-004F56001CA7}" [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps] @="{86F19A00-42A0-1069-A2E9-08002B30309D}" [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page] @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}" [HKEY_CLASSES_ROOT\regfile] @="Registration Entries" "EditFlags"=dword:00100000 "BrowserFlags"=dword:00000008 [HKEY_CLASSES_ROOT\regfile\DefaultIcon] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,\ 2c,00,31,00,00,00 [HKEY_CLASSES_ROOT\regfile\shell] @="open" [HKEY_CLASSES_ROOT\regfile\shell\edit] [HKEY_CLASSES_ROOT\regfile\shell\edit\command] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\ 54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,25,00,31,00,00,\ 00 [HKEY_CLASSES_ROOT\regfile\shell\open] @="Mer&ge" [HKEY_CLASSES_ROOT\regfile\shell\open\command] @="regedit.exe \"%1\"" [HKEY_CLASSES_ROOT\regfile\shell\print] [HKEY_CLASSES_ROOT\regfile\shell\print\command] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\ 54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,2f,00,70,00,20,\ 00,25,00,31,00,00,00 [HKEY_CLASSES_ROOT\.lnk] @="lnkfile" [HKEY_CLASSES_ROOT\.lnk\ShellEx] [HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}] @="{00021401-0000-0000-C000-000000000046}" [HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}] @="{00021401-0000-0000-C000-000000000046}" [HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}] @="{00021401-0000-0000-C000-000000000046}" [HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}] @="{00021401-0000-0000-C000-000000000046}" [HKEY_CLASSES_ROOT\.lnk\ShellNew] "Command"="rundll32.exe appwiz.cpl,NewLinkHere %1" [HKEY_CLASSES_ROOT\lnkfile] @="Shortcut" "EditFlags"=dword:00000001 "IsShortcut"="" "NeverShowExt"="" [HKEY_CLASSES_ROOT\lnkfile\CLSID] @="{00021401-0000-0000-C000-000000000046}" [HKEY_CLASSES_ROOT\lnkfile\shellex] [HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers] [HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Offline Files] @="{750fdf0e-2a26-11d1-a3ea-080036587f03}" [HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}] [HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler] @="{00021401-0000-0000-C000-000000000046}" [HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler] @="{00021401-0000-0000-C000-000000000046}" [HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers] [HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page] @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}" [HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}] @="Shortcut" [HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32] @="shell32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered] [HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}] @="{00021401-0000-0000-C000-000000000046}" [HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentHandler] @="{00021401-0000-0000-C000-000000000046}" [HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\ProgID] @="lnkfile" [HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex] [HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex\MayChangeDefaultMenu]
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Да, только под Администратором...
Добавлено через 11 минут
Помогло!
Еще что делать?
Добавлено через 21 минуту
После перезагрузки под другим пользователем (права - администратора), файлы WinCtrl32.dl_ и WinCtrl32.dll вновь появились, загрузка .exe прекратилась...
Последний раз редактировалось DAV; 10.06.2008 в 20:29. Причина: Добавлено
Сделайте новые логи (все 3).
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Вот новые логи...
Последний раз редактировалось DAV; 11.06.2008 в 18:03.
Какие у Вас права на файлы реестра SOFTWARE и SYSTEM?
Вам нужен полный доступ на папку Windows\System32\Config и все находящиеся в ней файлы.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Доступ полный
Попробуйте так:
Пуск - Выполнить - напишите sc delete имя
На том месте, где я написал слово имя, последовательно введите одно из следующих имен, т.е. операцию с sc delete Вам надо проделать немало раз: - имена такие:
Xej26
Winin73
Winci40
Wdi26
Vch51
tcpsr
Qvb61
Pvb84
Ngx48
Nua84
asc3550p
Winry51
Schedule
Google Online Services
NtmsSvcMSIServer
После этого перезагрузитесь и затем сделайте новые логи AVZ.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Выполнил...
Последний раз редактировалось DAV; 11.06.2008 в 19:20.
Уважаемый(ая) DAV, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.