не работает IEplorer, восстановление системы, и вообще нестандартное поведение.
не работает IEplorer
не работает IEplorer, восстановление системы, и вообще нестандартное поведение.
Последний раз редактировалось IntGirl; 24.09.2010 в 13:52.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe',''); QuarantineFile('C:\Program Files\Microsoft SQL Server\90\Shared\Resources\1033\sqlwriter.rll',''); QuarantineFile('C:\WINDOWS\System32\drivers\vitra.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\eaa867ff.sys',''); DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe'); DeleteFileMask('C:\RESTORE','*.*',true); DeleteDirectory('C:\RESTORE'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксить в HijackThis
ПК перезагрузите.Код:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
Сделайте новые логи.
Карантин отправила И новые логи вот
Последний раз редактировалось IntGirl; 24.09.2010 в 13:52.
Про меня забыли ((
Добавлено через 44 минуты
в безопасный режим не заходит
Последний раз редактировалось IntGirl; 28.10.2009 в 12:57. Причина: Добавлено
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Common Files\System\WebCheck.dll',''); DeleteFile('C:\Program Files\Common Files\System\WebCheck.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(10); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Новые логи
учетные записи пользователей тоже не открываются
Последний раз редактировалось IntGirl; 24.09.2010 в 13:52.
сделайте такой лог http://virusinfo.info/showthread.php?t=58309
ComboFix 09-10-27.07 - пользователь 28.10.2009 16:23.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1014.657 [GMT 5:00]
Running from: c:\documents and settings\пользователь\Рабочий стол\virinfo\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\LocalService\Application Data\sysproc64
c:\documents and settings\LocalService\Application Data\sysproc64\sysproc32.sys
c:\documents and settings\NetworkService\Application Data\sysproc64
c:\documents and settings\NetworkService\Application Data\sysproc64\sysproc32.sys
c:\documents and settings\пользователь\Application Data\wiaserva.log
c:\recycled\Recycled
C:\restore
c:\windows\system32\_004514_.tmp.dll
c:\windows\system32\_004515_.tmp.dll
c:\windows\system32\_004516_.tmp.dll
c:\windows\system32\_004517_.tmp.dll
c:\windows\system32\_004524_.tmp.dll
c:\windows\system32\_004525_.tmp.dll
c:\windows\system32\_004526_.tmp.dll
c:\windows\system32\_004527_.tmp.dll
c:\windows\system32\_004529_.tmp.dll
c:\windows\system32\_004530_.tmp.dll
c:\windows\system32\_004533_.tmp.dll
c:\windows\system32\_004534_.tmp.dll
c:\windows\system32\_004536_.tmp.dll
c:\windows\system32\_004537_.tmp.dll
c:\windows\system32\_004538_.tmp.dll
c:\windows\system32\_004540_.tmp.dll
c:\windows\system32\_004543_.tmp.dll
c:\windows\system32\_004544_.tmp.dll
c:\windows\system32\_004548_.tmp.dll
c:\windows\system32\_004549_.tmp.dll
c:\windows\system32\_004551_.tmp.dll
c:\windows\system32\_004554_.tmp.dll
c:\windows\system32\_004556_.tmp.dll
c:\windows\system32\_004557_.tmp.dll
c:\windows\system32\_004558_.tmp.dll
c:\windows\system32\_004559_.tmp.dll
c:\windows\system32\_004560_.tmp.dll
c:\windows\system32\_004563_.tmp.dll
c:\windows\system32\_004564_.tmp.dll
c:\windows\system32\_004565_.tmp.dll
c:\windows\system32\_004566_.tmp.dll
c:\windows\system32\_004567_.tmp.dll
c:\windows\system32\_004572_.tmp.dll
c:\windows\system32\ieuinit.inf
c:\windows\system32\sysproc64
c:\windows\system32\sysproc64\sysproc32.sys
c:\windows\system32\sysproc64\sysproc32.sys.cla
c:\windows\system32\sysproc64\sysproc86.sys
c:\windows\Temp\log.txt
.
((((((((((((((((((((((((( Files Created from 2009-09-28 to 2009-10-28 )))))))))))))))))))))))))))))))
.
2009-10-28 06:40 . 2004-08-18 17:00 99840 ----a-w- c:\windows\system32\dllcache\dpcdll.dll
2009-10-28 06:40 . 2009-10-28 06:45 -------- d-----w- c:\windows\system32\ru
2009-10-28 06:40 . 2009-10-28 06:44 -------- d-----w- c:\windows\l2schemas
2009-10-28 06:40 . 2009-10-28 06:45 -------- d-----w- c:\windows\system32\bits
2009-10-28 06:31 . 2004-08-18 17:00 997376 ----a-w- c:\windows\system32\dllcache\msgina.dll
2009-10-28 06:28 . 2009-10-28 06:41 -------- d-----w- c:\windows\system32\CatRoot_bak
2009-10-23 08:30 . 2009-10-23 08:30 -------- d-----w- c:\documents and settings\пользователь\Local Settings\Application Data\Opera
2009-10-23 08:30 . 2009-10-28 06:10 -------- d-----w- c:\program files\Opera
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-10-25 03:29 . 2008-03-23 12:42 94288 ----a-w- c:\windows\system32\perfc019.dat
2009-10-25 03:29 . 2008-03-23 12:42 494358 ----a-w- c:\windows\system32\perfh019.dat
2009-08-08 14:01 . 2009-08-08 14:01 45344 ----a-w- c:\windows\system32\drivers\msj3428.sys
.
------- Sigcheck -------
[7] 2007-12-07 . 7DC292EA98D2FFF0D31A4F3F211C57E4 . 3080192 . . [6.00.2900.3268] . . c:\windows\system32\dllcache\mshtml.dll
[7] 2007-12-07 . 7581B4DFF519C64F8339B0BC2CA69757 . 3087360 . . [6.00.2900.3268] . . c:\windows\$hf_mig$\KB944533\SP2QFE\mshtml.dll
[7] 2007-10-30 . CFB3F0A0A848703B33A06B8E0A50BE26 . 3086848 . . [6.00.2900.3243] . . c:\windows\$hf_mig$\KB942615\SP2QFE\mshtml.dll
[7] 2007-10-30 . 86EEE2878644E8F08C49975CCD980596 . 3079680 . . [6.00.2900.3243] . . c:\windows\$NtUninstallKB944533$\mshtml.dll
[7] 2007-08-22 . AA8DB1374FDA62F6DB1C0637EB0E7556 . 3085824 . . [6.00.2900.3199] . . c:\windows\$hf_mig$\KB939653\SP2QFE\mshtml.dll
[7] 2007-08-22 . 967EB63CA173705C070DC4378078662B . 3079168 . . [6.00.2900.3199] . . c:\windows\$NtUninstallKB942615$\mshtml.dll
[7] 2007-06-15 . 2C70E9D52496FDCF76C4D1B7D5094C3F . 3085312 . . [6.00.2900.3157] . . c:\windows\$hf_mig$\KB937143\SP2QFE\mshtml.dll
[7] 2007-06-14 . CA96178C4B9026AB51804F791773047C . 3079680 . . [6.00.2900.3157] . . c:\windows\$NtUninstallKB939653$\mshtml.dll
[7] 2007-05-04 . 48891EBC0424168D187FC432DD23E73B . 3085312 . . [6.00.2900.3132] . . c:\windows\$hf_mig$\KB933566\SP2QFE\mshtml.dll
[7] 2007-05-04 . E9B19A3A48398909E8A50055FB87FD20 . 3079680 . . [6.00.2900.3132] . . c:\windows\$NtUninstallKB937143$\mshtml.dll
[7] 2007-02-19 . 35089749642612F30458D5EDAEC17AAA . 3077632 . . [6.00.2900.3086] . . c:\windows\$NtUninstallKB933566$\mshtml.dll
[7] 2007-02-19 . FB794836B685B8C7B5B458C35283CC2C . 3084288 . . [6.00.2900.3086] . . c:\windows\$hf_mig$\KB931768\SP2QFE\mshtml.dll
[7] 2006-02-01 . FC67A42D285B01AF339E96C9A3460335 . 3035136 . . [6.00.2900.2838] . . c:\windows\$hf_mig$\KB912945\SP2QFE\mshtml.dll
[7] 2006-01-31 . 2C9C43FCBCCB6A253EC0DBEEBDEDB432 . 3033088 . . [6.00.2900.2838] . . c:\windows\$NtUninstallKB931768$\mshtml.dll
[7] 2004-08-18 . F61BFD37FC53A6DC405E9894D3378B02 . 3003392 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB912945$\mshtml.dll
c:\windows\system32\mshtml.dll ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-17 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"preload"="c:\windows\RUNXMLPL.exe" [2007-04-21 20480]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-03-08 40048]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.E XE" [2004-08-18 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScI nst.exe" [2004-08-18 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT \TINTSETP.EXE" [2004-08-18 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TIN TSETP.EXE" [2004-08-18 455168]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.ex e" [2007-06-13 138008]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-10-17 858632]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2007-07-04 475136]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-05-28 16132608]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Acer Empowering Technology.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Acer Empowering Technology.lnk
backup=c:\windows\pss\Acer Empowering Technology.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"odserv"=3 (0x3)
"MSK80Service"=2 (0x2)
"MpfService"=2 (0x2)
"McSysmon"=3 (0x3)
"McShield"=2 (0x2)
"McProxy"=2 (0x2)
"McODS"=3 (0x3)
"McNASvc"=2 (0x2)
"mcmscsvc"=2 (0x2)
"Irmon"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
S0 msj3428;msj3428;\SystemRoot\\SystemRoot\System32\d rivers\msj3428.sys --> \SystemRoot\\SystemRoot\System32\drivers\msj3428.s ys [?]
S1 eaa867ff.sys;eaa867ff.sys;\??\c:\windows\System32\ drivers\eaa867ff.sys --> c:\windows\System32\drivers\eaa867ff.sys [?]
S3 vitra;vitra;c:\windows\system32\drivers\vitra.sys --> c:\windows\system32\drivers\vitra.sys [?]
--- Other Services/Drivers In Memory ---
*Deregistered* - mbr
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yandex.ru/
mStart Page = hxxp://ru.intl.acer.yahoo.com
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://uk.rd.yahoo.com/customize/ycomp/defaults/su/*http://uk.yahoo.com
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHANS REMOVED - - - -
HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
Notify-dimsntfy - (no file)
AddRemove-InstallShield_{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} - c:\progra~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\ID river.exe
AddRemove-InstallShield_{4AD13F68-CADA-4C6B-9759-C33753F89908} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1150\INTEL3~1 \IDriver.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9b.exe
************************************************** ************************
disk not found C:\
please note that you need administrator rights to perform deep scan
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files:
************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'explorer.exe'(2984)
c:\program files\CyberLink\PowerDVD\deskband32.dll
c:\acer\Empowering Technology\ePower\SysHook.dll
c:\windows\system32\browselc.dll
c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
.
------------------------ Other Running Processes ------------------------
.
c:\combofix\CF1172.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\acer\Empowering Technology\eLock\Service\eLockServ.exe
c:\windows\system32\igfxext.exe
c:\docume~1\86D2~1\LOCALS~1\Temp\RtkBtMnt.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\unsecapp.exe
c:\combofix\PEV.cfxxe
.
************************************************** ************************
.
Completion time: 2009-10-28 16:31 - machine was rebooted
ComboFix-quarantined-files.txt 2009-10-28 11:31
Pre-Run: 26*224*349*184 байт свободно
Post-Run: 26*259*714*048 байт свободно
Current=5 Default=5 Failed=4 LastKnownGood=7 Sets=1,2,3,4,5,6,7
- - End Of File - - 931188C71AB166BD8C66492BF7FC3043
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\msj3428.sys',''); QuarantineFile('c:\windows\system32\drivers\vitra.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\eaa867ff.sys',''); DeleteService('eaa867ff.sys'); DeleteFile('C:\WINDOWS\System32\drivers\eaa867ff.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Выполните скрипт из сообщения http://virusinfo.info/showthread.php?t=43700
fystemRoot.log прикрепите к следующему сообщению
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи + fystemRoot.log
Последний раз редактировалось IntGirl; 24.09.2010 в 13:52.
неужели никто не может помочь
Выполнить скрипт:
Прислать карантин по Правилам, если туда что-то попадет.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\msj3428.sys',''); QuarantineFile('c:\documents and settings\LocalService\Application Data\sysproc64\sysproc32.sys',''); DeleteFileMask('C:\windows\system32','_004514_.*',true); ExecuteSysClean; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
новых файлов в карантине не появилось...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\system\webcheck.dll - Trojan.Win32.Pakes.nrk ( DrWEB: Trojan.WebCheck.9 )
Уважаемый(ая) IntGirl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
