черный гейский порнобанер

[Illusion_2009]

Ничего не мог запустить, снял винт - вылечил касперским на другом пк.
Третий файл (sysinfo) AVZ не создало, у меня английская версия, в стандартных скриптах я выбирал 2-4 пункты, архива этого нету, вместо них какие-то другие с именем пользователя. Может дело в том что я не в безопасном режиме их выполнял.

[Шапельский Александр]

Пофиксить в Hijack следующие строки:

Код:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\TKFBN.dll
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)

Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\drivers\f1b9f3df.sys','');
 DeleteService('f1b9f3df');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\System32\csrcs.exe','');
 QuarantineFile('C:\DOCUME~1\PEV3\LOCALS~1\Temp\TMP7.tmp','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
 DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
 DeleteFile('C:\DOCUME~1\PEV3\LOCALS~1\Temp\TMP7.tmp');
 DeleteFile('C:\WINDOWS\System32\csrcs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\f1b9f3df.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(8);
Executerepair(11);
Executerepair(16);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Сделайте лог Gmer

[Illusion_2009]

Сделал.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\TDSSmaxt.sys','');
DeleteFile('c:\windows\system32\drivers\TDSSmaxt.sys');
QuarantineFile('c:\windows\system32\TDSSoeqh.dll','');
DeleteFile('c:\windows\system32\TDSSoeqh.dll');
QuarantineFile('c:\windows\system32\TDSSnrsr.dll','');
DeleteFile('c:\windows\system32\TDSSnrsr.dll');
QuarantineFile('c:\windows\system32\TDSSriqp.dll','');
DeleteFile('c:\windows\system32\TDSSriqp.dll');
QuarantineFile('c:\windows\system32\TDSScfub.dll','');
DeleteFile('c:\windows\system32\TDSScfub.dll');
QuarantineFile('c:\windows\system32\TDSSfpmp.dll','');
DeleteFile('c:\windows\system32\TDSSfpmp.dll');
QuarantineFile('c:\windows\system32\TDSSsbhc.dll','');
DeleteFile('c:\windows\system32\TDSSsbhc.dll');
QuarantineFile('C:\WINDOWS\System32\mhiky.dll','');
DeleteFile('C:\WINDOWS\System32\mhiky.dll');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20090415-150509-F8F423C6\ARK3F.tmp','');
 QuarantineFile('C:\ARK25.tmp','');
 DeleteFile('C:\ARK25.tmp');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20090415-150509-F8F423C6\ARK3F.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)

Код:

gmer.exe -del service tdssserv.sys
gmer.exe -del file "c:\windows\system32\drivers\TDSSmaxt.sys"
gmer.exe -del file "c:\windows\system32\TDSSoeqh.dll"
gmer.exe -del file "c:\windows\system32\TDSSosvd.dat"
gmer.exe -del file "c:\windows\system32\TDSSnrsr.dll"
gmer.exe -del file "c:\windows\system32\TDSSriqp.dll"
gmer.exe -del file "c:\windows\system32\TDSScfub.dll"
gmer.exe -del file "c:\windows\system32\TDSSfpmp.dll"
gmer.exe -del file "c:\windows\system32\TDSSnmxh.log"
gmer.exe -del file "c:\windows\system32\TDSSsbhc.dll"
gmer.exe -del file "c:\windows\system32\TDSSrhym.log"
gmer.exe -del file "c:\windows\system32\TDSStkdv.log"
gmer.exe -del file "C:\WINDOWS\System32\mhiky.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tdssserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\omzpu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pvwfzcbu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tdssserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tdssserv.sys"
gmer.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новые логи (в нормальном режиме) + новый лог gmer.

[Illusion_2009]

Сделал.

[Шапельский Александр]

В логах чисто, что с проблемой?
Рекомендую обновить, иначе могут быть проблемы:
- Windows XP SP2 до Windows XP SP3, возможно потребуется активация;
- Internet Explorer v7.00 до Internet Explorer v8.00;
- Acrobat 7.0 до Acrobat 9.0;
- установить последние обновления на ОС.

[Illusion_2009]

Огромное спасибо за помощь, компьютер работает шустрее чем до возникновения проблемы)) Воспользуюсь вашими советами, спс.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\ark25.tmp - Net-Worm.Win32.Kido.ih
  2. c:\documents and settings\all users\application data\avira\antivir desktop\temp\avscan-20090415-150509-f8f423c6\ark3f.tmp - Net-Worm.Win32.Kido.ih
  3. c:\windows\system32\overlapp32.dll - Trojan-Banker.Win32.Delf.ap ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, AVAST4: Win32:Malware-gen )