Показано с 1 по 12 из 12.

Неубиваемое население компа (заявка № 24669)

  1. #1
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    13
    Вес репутации
    31

    Exclamation Неубиваемое население компа

    Я с ним бороться устала. Помогите, пожалуйста. Как то безнадежно все идет- я найду , удалю, перезагружу - все на месте . Восстановление системы отключено, но как то они сами себя восстанавливают.
    Аваст, Касперский не помогли, вообще никого не увидели.
    Webroot SpySweeper понаходил 22 штуки , но тож ничего не поменялось после его вмешательства.
    Рабочий стол заблокирован, комп на загрузке притормаживает, ну и куча маленьких "приятностей" время от времени возникает ..
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
    O2 - BHO: Google Accelerator! - {C537C28D-A54C-41AB-B326-DFA3F15BFFCC} - %SystemRoot%\system32\googlecb.dll (file missing)
    O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
    O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
    O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
    O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Nataly\svchost.exe
    O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
    O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Nataly\svchost.exe
    O4 - Startup: userinit.exe
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphce95j0epcr.scr','');
     QuarantineFile('C:\Documents and Settings\Nataly\Главное меню\Программы\Автозагрузка\userinit.exe','');
     QuarantineFile('C:\Documents and Settings\Nataly\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winch72.sys','');
     QuarantineFile('C:\Documents and Settings\Nataly\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winch72.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\googlecb.dll','');
     QuarantineFile('C:\WINDOWS\system32\explorer.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
     QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
     DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
     DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\system32\explorer.dll');
     DeleteFile('C:\WINDOWS\system32\googlecb.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winch72.sys');
     DeleteFile('C:\Documents and Settings\Nataly\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winch72.sys');
     DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
     DeleteFile('C:\Documents and Settings\Nataly\svchost.exe');
     DeleteFile('C:\Documents and Settings\Nataly\Главное меню\Программы\Автозагрузка\userinit.exe');
     DeleteFile('C:\WINDOWS\system32\blphce95j0epcr.scr');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=24669).

    Обновите базы AVZ.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    13
    Вес репутации
    31
    Карантин ,кажется , загрузила , или нет?
    (Файл сохранён как 080616_042455_virus_48563167eceed.zip
    Размер файла 718015
    MD5 76eefe629a1b7c7eb1e678d3c921121f )



    чужая картинка на раб столе по прежнему висит.. и этот , на месте : (
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

    логи :
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Скачайте Ice Sword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
    Распакуйте, запустите, нажмите слева внизу File.
    Найдите файлы:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\Drivers\Winch72.sys
    нажмите каждый правой кнопкой и выберите Force Delete.

    Не перезагружаясь после этого -

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL (file missing)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    и выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\drivers\ftnet2k.sys','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winch72.sys');
    BC_ImportALL;
    BC_DeleteSvc('Winch72');
    ExecuteSysClean;
    ExecuteRepair(5);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.

    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    13
    Вес репутации
    31
    (Файл сохранён как080616_050914_virus_48563bca53d34.zipРазмер файла2773MD53764af6a18c2d695dc952a494ec2d615)

    бегаить живее, но рабочий стол -все еще не мой
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    13
    Вес репутации
    31
    не могу сориентироваться на сайте, а вопрос такой ..
    похожие траблы прямо в соседних темах - и звери похожие, и WinCtlr32 , и у меня тож в комплекте был ie_udates3r - с утра кем то его отловила, и не впервые встречаю его у себя на компе за последний м-ц .
    Я хожу на довольно ограниченное кол-во сайтов, так что наверное, можно выяснить откуда берется вся эта прелесть?
    а как ? ес можно- носом ткнуть в темку ..
    антивирусы спят

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите:
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    А картинка со стола разве не пропала?
    I am not young enough to know everything...

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    ftnet2k.sys - Rootkit.Win32.Agent.atb

    Выполните в AVZ:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ftnet2k');
     DeleteFile('C:\WINDOWS\system32\drivers\ftnet2k.sys');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи с п.10 правил

  10. #9
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    13
    Вес репутации
    31
    неа, Bratez ...картинка не пропала , но зато "разморозились " св-ва экрана и вручную сменила ее . Забавная вещь- этьот файл должен быть удален, я помню, его на каком то этапе отстрелили тут . После смены заставки вручную файла нет.

    сделала, как вы , Гриша, просили :
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    16.06.2008
    Сообщений
    13
    Вес репутации
    31
    але, ребят ...меня вылечили -нет?
    что с msconfig делать? он загружается каждый раз , потому что выборочный запуск стоит , и отключена автозагрузка ..в самой вкладке автозагрузка -куча неприятного , то что убито по идее должно быть ...но почему оно в этом конфиге -то до сих пор?

    как быть то ? 6(( не знаю я ничего в этих копьютерных премудростях

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить вот эту строчку, чтобы MSConfig не вылезал:
    O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe " /auto
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 44
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\localservice\\svchost.exe - Trojan-PSW.Win32.LdPinch.gmt (DrWEB: Trojan.Alupko.1)
      2. c:\\documents and settings\\nataly\\svchost.exe - Trojan-PSW.Win32.LdPinch.gmt (DrWEB: Trojan.Alupko.1)
      3. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.qzm (DrWEB: Trojan.KeyLogger.2287)
      4. c:\\windows\\system32\\drivers\\ftnet2k.sys - Rootkit.Win32.Agent.atb (DrWEB: Trojan.NtRootKit.1224)
      5. c:\\windows\\system32\\drivers\\services.exe - Trojan-PSW.Win32.LdPinch.gmt (DrWEB: Trojan.Alupko.1)
      6. c:\\windows\\system32\\explorer.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153)
      7. c:\\windows\\system32\\googlecb.dll - Trojan-PSW.Win32.YahooPass.bk (DrWEB: Trojan.Siggen.75)
      8. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.cmi (DrWEB: Trojan.Packed.511)
      9. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.agy (DrWEB: Trojan.DownLoader.63553)


  • Уважаемый(ая) sorokka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 19.08.2011, 08:25
    2. лечение компа
      От kerzer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.03.2010, 14:28
    3. лечение компа
      От as6314200855 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.05.2009, 23:58
    4. Зависание компа
      От Мурад в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.11.2008, 17:17
    5. Ответов: 0
      Последнее сообщение: 14.03.2008, 15:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00284 seconds with 23 queries