посмотрите плиз логи,не могу понять где причина, вроде всё подчистил а при запуске выдаёт отправить отчёт ctfmon.exe видно что левый но прова ток уадмина и зайти на него не могу
посмотрите плиз логи,не могу понять где причина, вроде всё подчистил а при запуске выдаёт отправить отчёт ctfmon.exe видно что левый но прова ток уадмина и зайти на него не могу
скачайте C:\WINDOWS\System32\Drivers\Iki42.sys,C:\WINDOWS\s ystem32\Drivers\Nvd42.sys - force delete
пофиксите
выполните скрипт ...Код:O2 - BHO: WRL Advisor - {02FA71E5-C3E0-48FC-B85C-62074AA5E3BA} - C:\WINDOWS\nldfmtaploe.dll O2 - BHO: MddApp Class - {1A4F919F-4334-4abf-BF47-0836A8B5A54B} - C:\WINDOWS\system32\ddr7xm.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: BhoApp Class - {AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B} - C:\WINDOWS\system32\hmlphl.dll O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file) O2 - BHO: C:\WINDOWS\system32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file) O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll (file missing) O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Олег\cftmon.exe O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe O4 - HKUS\S-1-5-18\..\Run: [SystemDriverLoad] (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [SystemDriver] (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [FDriver] (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [ADriver] (User 'SYSTEM') O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O17 - HKLM\System\CCS\Services\Tcpip\..\{27E98372-10F2-4776-8C41-50AD5EC1B924}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CCS\Services\Tcpip\..\{80D635E1-C5B1-409C-8F95-C38980AF6465}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CCS\Services\Tcpip\..\{CFDF1543-A718-4F08-8ABD-FD08130102D8}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CCS\Services\Tcpip\..\{FB36C706-111A-41B3-9CA9-240801D33E0F}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70 O17 - HKLM\System\CS1\Services\Tcpip\..\{27E98372-10F2-4776-8C41-50AD5EC1B924}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70 O17 - HKLM\System\CS2\Services\Tcpip\..\{27E98372-10F2-4776-8C41-50AD5EC1B924}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70 O17 - HKLM\System\CS4\Services\Tcpip\..\{27E98372-10F2-4776-8C41-50AD5EC1B924}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70 O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll O20 - Winlogon Notify: WinNt32- - C:\WINDOWS\SYSTEM32\WinNt32.dll O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file) O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}'); QuarantineFile('c:\autoex.dll',''); DelBHO('{AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B}'); QuarantineFile('C:\WINDOWS\system32\hmlphl.dll',''); DelBHO('{1A4F919F-4334-4abf-BF47-0836A8B5A54B}'); QuarantineFile('C:\WINDOWS\system32\ddr7xm.dll',''); QuarantineFile('C:\WINDOWS\pxgdslro.dll',''); QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe',''); BC_DeleteSvc('msdirect'); QuarantineFile('C:\WINDOWS\system32\msdirect.sys',''); BC_DeleteSvc('Nvd42'); BC_DeleteSvc('Schedule'); BC_DeleteSvc('Google Online Services'); QuarantineFile('C:\Documents and Settings\Олег\ie_updates3r.exe',''); BC_DeleteSvc('dnlsvc'); QuarantineFile('C:\DOCUME~1\05AC~1\LOCALS~1\Temp\dnlsvc.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Nvd42.sys',''); QuarantineFile('Iki42.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('c:\windows\system32\drivers\spools.exe',''); DeleteFile('c:\windows\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('Iki42.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Nvd42.sys'); DeleteFile('C:\DOCUME~1\05AC~1\LOCALS~1\Temp\dnlsvc.exe'); DeleteFile('C:\Documents and Settings\Олег\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\msdirect.sys'); DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\TEMP\winlagon.exe'); DeleteFile('C:\WINDOWS\pxgdslro.dll'); DeleteFile('WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\ddr7xm.dll'); DeleteFile('C:\WINDOWS\system32\hmlphl.dll'); DeleteFile('c:\autoex.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
повторите логи ...
Последний раз редактировалось Rene-gad; 23.06.2008 в 20:40. Причина: убрать зловредный сервер из Одессы... :)
там в скрипте пробла 52:1
Добавлено через 8 минут
пишет что нет доступа к реестру и диспетчер задач не пашет,говорит что оключён админом а под админом зайти нельзя,если в безопасном режиме зайду и исполнить поможет?
Последний раз редактировалось 911-11; 23.06.2008 в 20:50. Причина: Добавлено
Скрипт правильный,копируйте аккуратнееIceSword не работает в безопасном режиме,выполните скрипт в Safe Mode и повторите логи...
не подскажете как можно включить диспетчер задач у пользователя с правами админа,он не активен а при ctrl+alt+del пишет чтото птипо запришено админом,логи выслать не могу,может я какую службу отключи?????
AVZ запустить можете? Файл - Восстановление системы - выполните "Удаление всех ограничений (policies)..." Точное название не помню, как обычно
Уважаемый(ая) 911-11, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.