Было много троянов и авторан вирусы, Windows не грузилась ни в обычном, ни в безопасном режиме. Шла перезагрузка. Полечил Док. Вебом, система стартует.
Посмотрите, пожалуйста логи, что-то еще наверняка осталось.
Было много троянов и авторан вирусы, Windows не грузилась ни в обычном, ни в безопасном режиме. Шла перезагрузка. Полечил Док. Вебом, система стартует.
Посмотрите, пожалуйста логи, что-то еще наверняка осталось.
Последний раз редактировалось StepIn; 04.09.2008 в 17:27.
Нарушения правил при сборе информации для раздела Помогите.
- Не выключено системное восстановление.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
И еще: обьясните, для кого/чего у Вас работает Акронис, создавая образ зараженной системы?
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\Drivers\Winty16.sys C:\WINDOWS\System32\Drivers\Jos16.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('3bf041ef'); DeleteService('jos16'); DeleteService('tcpsr'); DeleteService('Winty16'); DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}'); QuarantineFile('C:\WINDOWS\System32\drivers\3bf041ef.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Jos16.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\WINDOWS\msserv.exe',''); QuarantineFile('C:\WINDOWS\TEMP\\soundmgr.exe',''); QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll',''); QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winty16.sys',''); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe',''); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\Documents and Settings\LocalService\svchost.exe'); DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll'); DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\msserv.exe'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jos16.sys'); DeleteFile('C:\WINDOWS\System32\drivers\3bf041ef.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('3bf041ef'); BC_DeleteSvc('jos16'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Winty16'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Забыл посмотреть и отключить системное восстанвление. Спасибо за напоминание!
Акронис не работает, он просто установлен. Никаких образов по расписанию, или как-то иначе, он не делает. А почему вы заговорили об Акронисе? Есть потенциальная опасность?
С помощью IceSword нашел только файл Winty16.sys. Скопировал его, но потом не нашел. Поэтому карантин не высылаю с этим файлом не высылаю.
Скрипт выполнил, очистил папки. Вот новые логи.
Последний раз редактировалось StepIn; 04.09.2008 в 17:27.
Добавлю:
С помощью IceSword нашел только файл Winty16.sys. Скопировал его, но потом не нашел. Возможно он в этом карантине. Высылаю карантин.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe',''); DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}'); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\WINDOWS\TEMP\\soundmgr.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll',''); QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe',''); DeleteService('Winty16'); DeleteService('tcpsr'); DeleteService('jos16'); DeleteService('Google Online Services'); QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe',''); DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Jos16.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\Documents and Settings\LocalService\svchost.exe'); DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe'); DelCLSID('28abc5c0-4fcb-11cf-aax5-81cx1c635612'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
повторите логи ......
Скрипт выполнил. Но новых файлов в карантине не прибавилось. Высылаю старый карантин.
И новые логии.
Последний раз редактировалось StepIn; 30.08.2008 в 17:43.
Windows XP SP1 - жуть .... мы тут никогда не победим ....
отключитесь от интернета и выполните рекомендации из поста 5 заново ....
повторите логи ...
Да, принесли комп с Windows XP SP1, думал вылечу и поставлю SP3. Ведь ставить SP3 на грязный комп, не совсем правильно?
От интернета комп отключен с начала лечения.
>>> выполните рекомендации из поста 5 заново
Т. е. снова запустить ваш последний скрипт от 21:16?
пролечитесь AVPTool ссылка в подписи Rene-gad , а затем скрипт ...
Полечил AvpTool. Скрипт выполнил. Высылаю карантин.
И новые логи.
Последний раз редактировалось StepIn; 04.09.2008 в 17:27.
Коллега V_Bond был прав: через такую систему вермишель хорошо отбрасывать (С).
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}'); QuarantineFile('C:\WINDOWS\system32\axpm812.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe',''); QuarantineFile('C:\WINDOWS\wt\webdriver\4.1.1\webdriver.dll',''); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\WINDOWS\msserv.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\WINDOWS\TEMP\\soundmgr.exe',''); QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll',''); QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winty16.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\3bf041ef.sys','');´ DeleteService('Winty16'); DeleteService('3bf041ef'); DeleteService('ssdpsrvsysmonlog'); DeleteService('Google Online Services'); DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\axpm812.exe'); DeleteFile('C:\WINDOWS\System32\drivers\3bf041ef.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\Documents and Settings\LocalService\svchost.exe'); DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll'); DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\msserv.exe'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe'); DeleteFile('C:\WINDOWS\wt\webdriver\4.1.1\webdriver.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winty16'); BC_DeleteSvc('3bf041ef'); BC_DeleteSvc('ssdpsrvsysmonlog'); BC_DeleteSvc('Google Online Services'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Скрипт выполнил. Вот новые логи.
Последний раз редактировалось StepIn; 04.09.2008 в 17:26.
выполнить стандартный скрипт 6
выполните скрипт ...
выполните скрипт ...Код:begin ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}'); DeleteService('Google Online Services'); DeleteService('jos16'); DeleteService('Winty16'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jos16.sys'); DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\Documents and Settings\LocalService\svchost.exe'); DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll'); DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\msserv.exe'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe'); DelCLSID('28abc5c0-4fcb-11cf-aax5-81cx1c635612'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Скрипты выполнил. Вот новые логи.
Последний раз редактировалось StepIn; 04.09.2008 в 17:26.
давайте попробуем выполнить(пост 13) скрипт в AvpTool (перейти в ручное лечение) ....
затем сделайте лог AvpTool
Выполнил второй (больший) скрипт из поста 13. Высылаю 2 лога AvpTool до и после выполнения скрипта.
Последний раз редактировалось StepIn; 04.09.2008 в 17:26.
Как последние логи AVP? Что же делать? Как от этого избавиться? Может попробовать установить сейчас SP3? Или переустанавливать систему?
На всякий случай выкладываю новые логи после скрипта выполненного в AvpTool.
Последний раз редактировалось StepIn; 04.09.2008 в 17:26.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe',''); QuarantineFile('C:\WINDOWS\wt\updater\SmallUpdater.exe',''); DeleteFile('C:\WINDOWS\wt\updater\SmallUpdater.exe'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Скрипт выполнил, очистил. Карантин пуст.
Вот новые логи.
Последний раз редактировалось StepIn; 04.09.2008 в 17:26.
Уважаемый(ая) StepIn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.