AVZ несколько раз вываливался с ошибками, то index out of bounds, то disk not found.
Посмотрите логи, пожалуйста.
AVZ несколько раз вываливался с ошибками, то index out of bounds, то disk not found.
Посмотрите логи, пожалуйста.
Последний раз редактировалось Tritan; 14.01.2010 в 17:44.
1) Отключите восстановление системы.
2) Пофиксите в HijackThis:
3) Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: winsys2freg - c:\Settings\winsys2f.dll (file missing) O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('c:\ex.cab',''); QuarantineFile('c:\eied_s7.cab',''); QuarantineFile('c:\Settings\winsys2f.dll',''); QuarantineFile('C:\WINDOWS\servicepackfiles\mmwnd.exe',''); DeleteService('pe386'); DeleteService('lzx32'); QuarantineFile('C:\WINDOWS\System32\lzx32.sys',''); DeleteService('aspi113210'); QuarantineFile('C:\WINDOWS\System32\aspi256401.exe',''); DeleteFile('c:\ex.cab'); DeleteFile('c:\eied_s7.cab'); DeleteFile('C:\WINDOWS\System32\aspi256401.exe'); DeleteFile('C:\WINDOWS\System32\lzx32.sys'); DeleteFile('C:\WINDOWS\servicepackfiles\mmwnd.exe'); DeleteFile('c:\Settings\winsys2f.dll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xp_sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg','DLLName'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{64311111-1111-1121-1111-111191113457}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-622221193458}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193458}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193457}'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 3, 3, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
4) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
5) Сделайте новые логи + такой лог: http://virusinfo.info/showthread.php?t=40118
GHETTO/STREET WORKOUT
Сделано. Карантин выслан.
1) Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); DeleteService('qqybjnx'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\qqybjnx\Parameters'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\qqybjnx'); RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\qqybjnx\Parameters'); RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\qqybjnx'); QuarantineFile('C:\WINDOWS\System32\nvacr.dll',''); DeleteFile('C:\WINDOWS\System32\nvacr.dll'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
3) Сделайте новый лог GMER.
GHETTO/STREET WORKOUT
Сделал.
Логи AVZ больше делать не нужно?
Вот новый лог Gmer
Не нужно.Логи AVZ больше делать не нужно?
Вы выложили старый лог GMER (см. пост #3) - сделайте новый.Вот новый лог Gmer
GHETTO/STREET WORKOUT
Заработался. Виноват.
1) Сохраните текст ниже как cleanup.bat в ту же папку, где находится tblt0bnf.exe (GMER) и запустите этот батник:
Компьютер перезагрузится.Код:tblt0bnf.exe -del service qqybjnx tblt0bnf.exe -del file "C:\WINDOWS\System32\nvacr.dll" tblt0bnf.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qqybjnx" tblt0bnf.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qqybjnx" tblt0bnf.exe -reboot
2) Сделайте новый лог GMER.
GHETTO/STREET WORKOUT
Сделал.
В логе чисто.
Для контроля сделайте ещё такой лог: http://virusinfo.info/showthread.php?t=53070
GHETTO/STREET WORKOUT
Сделал вроде.
Удалите в mbam
Сделаете новый лог mbamКод:Заражено ключей реестра: HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts (Trojan.Downloader) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenU) -> No action taken. Заражено значений реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken. Заражено папок: C:\Program Files\NewDotNet (Adware.NewDotNet) -> No action taken. C:\Program Files\Save (Adware.WhenU) -> No action taken. C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU (Adware.WhenU) -> No action taken. Заражено файлов: C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU\Learn More About WhenU Save.url (Adware.WhenU) -> No action taken. C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU\Learn More About WhenU SaveNow.url (Adware.WhenU) -> No action taken. C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU\WhenU.com Website.url (Adware.WhenU) -> No action taken. C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU\Uninstall Instructions.lnk (Adware.WhenU) -> No action taken. C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU\Customer Support.lnk (Adware.WhenU) -> No action taken. C:\WINDOWS\system32\dlh9jkd1q8.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\dlh9jkd1q1.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\vx.tll (Malware.Trace) -> No action taken.
Сделал. Говорит, что чисто.
В логе чисто.
Проблема решена?
Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
GHETTO/STREET WORKOUT
Да, решена.
Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Tritan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.