-
Junior Member
- Вес репутации
- 58
Нужна помощь
Добрый день.
Убивался после пары секунд AVZ-переименовал-теперь норм.
Не загружались exe файлы, в панели управления ничего не загружалось, был залочен реестр-пофиксил с помощью Avz.
Сейчас Не грузится в безопасном режиме-уходит сама на перезагрузку.
Пункт Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info- не проходит-так же перезагружается при выполнении.
Утилита CUREIT не запускается-тоже в глухую перезагрузку.
В процессе постоянно появляются 3 файла вида - winagxy.exe, winaipja.exe, winmmanynj.exe.
Так же в атоpапуске были winlagon.exe, csrssc.exe-рукаими поубивал-теперь не появляются.
Прикладываю лог HijackThis, и лог Скрипт сбора информации для раздела "Помогите!" virusinfo.info"
Помогите пожалуста.
Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll (file missing)
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [HJdfke9kfdf] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll
O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll (file missing)
Перегрузитесь и сделайте логи начиная от п.10 правил.
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.
-
Отключите ПК от сети.
Отключите Антивирус.
Отключите системное востановление.
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\tmp\winagxy.exe');
TerminateProcessByName('c:\tmp\winmmaynj.exe');
TerminateProcessByName('c:\tmp\winaipja.exe');
DeleteService('Google Online Services');
DeleteService('Schedule');
DeleteService('aic32p');
DeleteService('Winin40');
DeleteService('tcpsr');
DeleteService('Kqv48');
DeleteService('Glq27');
DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
QuarantineFile('C:\TMP\winagxy.exe','');
QuarantineFile('C:\TMP\winaipja.exe','');
QuarantineFile('C:\TMP\winmmaynj.exe','');
QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Glq27.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Kqv48.sys','');
QuarantineFile('C:\Documents and Settings\BOSS\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sssjpq.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winin40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kqv48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Glq27.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('WinNt64.dll','');
QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
QuarantineFile('Dkt58.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winin40.sys','');
QuarantineFile('c:\tmp\winmmaynj.exe','');
DeleteFile('c:\tmp\winmmaynj.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Winin40.sys');
DeleteFile('Dkt58.sys');
DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
DeleteFile('WinNt64.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Glq27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kqv48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin40.sys');
DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
DeleteFile('C:\Documents and Settings\BOSS\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Kqv48.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Glq27.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
DeleteFile('C:\TMP\winmmaynj.exe');
DeleteFile('C:\TMP\winaipja.exe');
DeleteFile('C:\TMP\winagxy.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
1. Очистите темп-папки и кэш проводников.
2. Закачайте карантин по правилам.
3. Повторите логи.
-
-
Junior Member
- Вес репутации
- 58
Пункт 3 в AVZ не выполняется-уходит в перезагрузку
Вот лог после скрипта
Карантин прислал
Левых файлов опять полно в диспетчере. Правда сразу после загрузки системы их нет. Появляются позже.
Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.
-
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем 'C:\WINDOWS\system32\WinNt64.dll, 'C:\WINDOWS\system32\Drivers\Glq27.sys, 'C:\WINDOWS\system32\Drivers\Dkt58.sys, C:\WINDOWS\system32\Drivers\Kqv48.sys, C:\WINDOWS\system32\drivers\sssjpq.sys, C:\WINDOWS\System32\drivers\tcpsr.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Без перезагрузки
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Glq27.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Dkt58.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Kqv48.sys');
DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('WinNt64.dll');
DeleteFile('Dkt58.sys');
BC_ImportDeletedList;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Kqv48');
BC_DeleteSvc('Glq27');
BC_DeleteSvc('avipbb');
BC_DeleteSvc('aic32p');
BC_DeleteSvc('Dkt58');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Повторите логи.
-
Junior Member
- Вес репутации
- 58
C:\WINDOWS\system32\drivers\sssjpq.sys, C:\WINDOWS\System32\drivers\tcpsr.sys - этих файлов не было, остальные удалил
Вот лог после скрипта
И появляется после заргузки - Explorer.exe - No disk и лезет на диск А:
Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.
-
Запустите АВЗ, Файл/Мастер поиска и устранения проблем/Все проблемы .. Запуск.
Выполните скрипт
Код:
begin
ExecuteRepair(5);
ExecuteRepair(8);
end.
Перегрузитесь и посвторите 2 лога начиная от п.10 правил.
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.
-
Отключите ПК от сети.
Отключите Антивирус.
Отключите системное востановление.
Пофиксите:
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt64 - WinNt64.dll (file missing)
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('aic32p');
TerminateProcessByName('c:\tmp\winnijkmo.exe');
TerminateProcessByName('c:\tmp\winiydki.exe');
QuarantineFile('c:\tmp\winiydki.exe','');
QuarantineFile('c:\tmp\winnijkmo.exe','');
QuarantineFile('WinNt64.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\sssjpq.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
DeleteFile('WinNt64.dll');
DeleteFile('c:\tmp\winiydki.exe');
DeleteFile('c:\tmp\winnijkmo.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(7);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
1.Закачайте карантин по правилам.
2. Повторите логи.
-
-
Junior Member
- Вес репутации
- 58
Млин, прибил с дуру вручную 'c:\tmp\winnijkmo.exe' и 'c:\tmp\winiydki.exe'
не успев прочитать сообщение
Теперь появился в c:\tmp один файл - winucey.exe.
Я так понимаю скрипт под него нужно поправить
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.
-
Удалите этим: http://virusinfo.info/showthread.php?t=17228 2 файла
Код:
c:\tmp\winucey.exe
C:\WINDOWS\system32\drivers\sssjpq.sys
Выберите опцию force delete.
Потом повторите логи.
Последний раз редактировалось Rene-gad; 13.06.2008 в 15:35.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
C:\WINDOWS\system32\drivers\sssjpq.sys-этого файла не было
c:\tmp\winucey.exe-удалил
машину не перегружал-вот лог
Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.
-
Сообщение от
Yeliseevs
C:\WINDOWS\system32\drivers\sssjpq.sys-этого файла не было
-был и есть.
c:\tmp\winucey.exe-удалил
- не удалился
Скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\tmp\winucey.exe');
DeleteService('aic32p');
DeleteFile('c:\tmp\winucey.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
BC_DeleteFile('c:\tmp\winucey.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи повторите.
-
-
Junior Member
- Вес репутации
- 58
Запустил скрипт-вот логи.
Клянусь не было файла-все глаза сломал пока высматривал.
Я понимаю что должен быть , но нету .
И ещо если без всунутой флешки загружатся то появляется сообщение-Explorer.exe - No disk и чета от дисковаода хочет.
Если с флешкой то сообщения нету. Я так понимаю на флешке чтото есть плохое-как с ней быть?
Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.
-
Junior Member
- Вес репутации
- 58
Млин пока писал-опять говно ето появилось- winatxtl.exe и wingxba.exe и winnjhpoq.exe в c:\tmp и в диспетчере.
Рабочий день уже заканчивается-пора домой. Если не сложно помогите в понедельник добить этот комп
Спасибо всем огромное
-
Выполните
Код:
begin
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Winns51');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','sssjpq');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
BC_DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
BC_DeleteSvc('Winns51');
BC_DeleteSvc('sssjpq');
BC_Activate;
RebootWindows(true);
end.
Затем
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
SysCleanAddFile('C:\WINDOWS\System32\Drivers\Winns51.sys');
SysCleanAddFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
DeleteFileMask('C:\WINDOWS\Temp\', '*.exe', false);
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Новый карантин пришлите
Последний раз редактировалось Rene-gad; 13.06.2008 в 17:46.
Причина: Спасибо kps :)
-
-
По совету vaber: попробуйте скачать по новой и запустить CureIt.
-
-
Junior Member
- Вес репутации
- 58
есть карантин
Добавлено через 21 минуту
какая то ерунда-CRC у avz был изменен.. я взял из zipa экзешник переписал- тут бах в тотал командере в командой строке testtesttest раз двадцать написалось... шо за фигня блин....
Последний раз редактировалось Yeliseevs; 16.06.2008 в 01:11.
Причина: Добавлено