Junior Member
Вес репутации
58
Неубиваемое население компа
Я с ним бороться устала. Помогите, пожалуйста. Как то безнадежно все идет- я найду , удалю, перезагружу - все на месте . Восстановление системы отключено, но как то они сами себя восстанавливают.
Аваст, Касперский не помогли, вообще никого не увидели.
Webroot SpySweeper понаходил 22 штуки , но тож ничего не поменялось после его вмешательства.
Рабочий стол заблокирован, комп на загрузке притормаживает, ну и куча маленьких "приятностей" время от времени возникает ..
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Google Accelerator! - {C537C28D-A54C-41AB-B326-DFA3F15BFFCC} - %SystemRoot%\system32\googlecb.dll (file missing)
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Nataly\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Nataly\svchost.exe
O4 - Startup: userinit.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\blphce95j0epcr.scr','');
QuarantineFile('C:\Documents and Settings\Nataly\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Nataly\svchost.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winch72.sys','');
QuarantineFile('C:\Documents and Settings\Nataly\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winch72.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\googlecb.dll','');
QuarantineFile('C:\WINDOWS\system32\explorer.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\explorer.dll');
DeleteFile('C:\WINDOWS\system32\googlecb.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winch72.sys');
DeleteFile('C:\Documents and Settings\Nataly\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winch72.sys');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\Documents and Settings\Nataly\svchost.exe');
DeleteFile('C:\Documents and Settings\Nataly\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINDOWS\system32\blphce95j0epcr.scr');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24669 ).
Обновите базы AVZ.
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
58
Карантин ,кажется , загрузила , или нет?
(Файл сохранён как 080616_042455_virus_48563167eceed.zip
Размер файла 718015
MD5 76eefe629a1b7c7eb1e678d3c921121f )
чужая картинка на раб столе по прежнему висит.. и этот , на месте : (
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
логи :
Вложения
Скачайте Ice Sword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
Распакуйте, запустите, нажмите слева внизу File.
Найдите файлы:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winch72.sys
нажмите каждый правой кнопкой и выберите Force Delete.
Не перезагружаясь после этого -
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
и выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\ftnet2k.sys','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winch72.sys');
BC_ImportALL;
BC_DeleteSvc('Winch72');
ExecuteSysClean;
ExecuteRepair(5);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
58
(Файл сохранён как080616_050914_virus_48563bca53d34.zipРазмер файла2773MD53764af6a18c2d695dc952a494ec2d615)
бегаить живее, но рабочий стол -все еще не мой
Вложения
Junior Member
Вес репутации
58
не могу сориентироваться на сайте, а вопрос такой ..
похожие траблы прямо в соседних темах - и звери похожие, и WinCtlr32 , и у меня тож в комплекте был ie_udates3r - с утра кем то его отловила, и не впервые встречаю его у себя на компе за последний м-ц .
Я хожу на довольно ограниченное кол-во сайтов, так что наверное, можно выяснить откуда берется вся эта прелесть?
а как ? ес можно- носом ткнуть в темку ..
антивирусы спят
Пофиксите:
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
А картинка со стола разве не пропала?
I am not young enough to know everything...
ftnet2k.sys - Rootkit.Win32.Agent.atb
Выполните в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ftnet2k');
DeleteFile('C:\WINDOWS\system32\drivers\ftnet2k.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи с п.10 правил
Junior Member
Вес репутации
58
неа, Bratez ...картинка не пропала , но зато "разморозились " св-ва экрана и вручную сменила ее . Забавная вещь- этьот файл должен быть удален, я помню, его на каком то этапе отстрелили тут . После смены заставки вручную файла нет.
сделала, как вы , Гриша, просили :
Вложения
Junior Member
Вес репутации
58
але, ребят ...меня вылечили -нет?
что с msconfig делать? он загружается каждый раз , потому что выборочный запуск стоит , и отключена автозагрузка ..в самой вкладке автозагрузка -куча неприятного , то что убито по идее должно быть ...но почему оно в этом конфиге -то до сих пор?
как быть то ? 6(( не знаю я ничего в этих копьютерных премудростях
Профиксить вот эту строчку, чтобы MSConfig не вылезал:
O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe " /auto
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 44 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\localservice\\svchost.exe - Trojan-PSW.Win32.LdPinch.gmt (DrWEB: Trojan.Alupko.1) c:\\documents and settings\\nataly\\svchost.exe - Trojan-PSW.Win32.LdPinch.gmt (DrWEB: Trojan.Alupko.1) c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.qzm (DrWEB: Trojan.KeyLogger.2287) c:\\windows\\system32\\drivers\\ftnet2k.sys - Rootkit.Win32.Agent.atb (DrWEB: Trojan.NtRootKit.1224) c:\\windows\\system32\\drivers\\services.exe - Trojan-PSW.Win32.LdPinch.gmt (DrWEB: Trojan.Alupko.1) c:\\windows\\system32\\explorer.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153) c:\\windows\\system32\\googlecb.dll - Trojan-PSW.Win32.YahooPass.bk (DrWEB: Trojan.Siggen.75) c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.cmi (DrWEB: Trojan.Packed.511) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.agy (DrWEB: Trojan.DownLoader.63553)