Здравствуйте,
Дал на время товарищу винт с windows xp. Что он с ним делал, внятно объяснить не может. Теперь столкнулся при загрузке с рядом ошибок в обозначенных в названии темы процессах. Можно ли вылечить?
wdfmgr.exe, alg.exe и другие
Здравствуйте,
Дал на время товарищу винт с windows xp. Что он с ним делал, внятно объяснить не может. Теперь столкнулся при загрузке с рядом ошибок в обозначенных в названии темы процессах. Можно ли вылечить?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\autorun.wsh',''); QuarantineFile('E:\autorun.wsh',''); QuarantineFile('D:\autorun.wsh',''); QuarantineFile('C:\autorun.wsh',''); QuarantineFile('C:\WINDOWS\system32\D.tmp',''); QuarantineFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\XN94ELZJ\update[1].exe',''); QuarantineFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\FHAQFI46\update[1].exe',''); QuarantineFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\2OJZLPX7\update[1].exe',''); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); DeleteService('ouxaegt'); QuarantineFile('C:\WINDOWS\system32\ouxaegt.SYS',''); QuarantineFile('c:\windows\system32\userini.exe',''); QuarantineFile('c:\windows\fonts\services.exe',''); QuarantineFile('c:\windows\system32\ctfmon.exe',''); QuarantineFile('c:\windows\system32\28.tmp',''); DeleteFile('c:\windows\system32\28.tmp'); DeleteFile('c:\windows\system32\spoolsv.exe'); DeleteFile('c:\windows\system32\userini.exe'); DeleteFile('C:\WINDOWS\system32\ouxaegt.SYS'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\2OJZLPX7\update[1].exe'); DeleteFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\FHAQFI46\update[1].exe'); DeleteFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\XN94ELZJ\update[1].exe'); DeleteFile('C:\WINDOWS\system32\D.tmp'); DeleteFile('C:\autorun.wsh'); DeleteFile('D:\autorun.wsh'); DeleteFile('E:\autorun.wsh'); DeleteFile('F:\autorun.wsh'); DeleteFile('C:\WINDOWS\system32\5.tmp'); DeleteFile('C:\WINDOWS\system32\a.tmp'); DeleteFile('C:\WINDOWS\system32\c.tmp'); DeleteFile('C:\WINDOWS\system32\d.tmp'); DeleteFile('C:\WINDOWS\system32\userini.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
скачайте заново ! авз повторите логи
Ох, и намучался, после всех процедур перестал запускаться браузер.
Логи обновил, карантин закачал.
Очевидно, у вас файловый вирус>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Пришлите ваш экземпляр avz.exe в архиве с паролем virus по ссылке для карантина.
Пролечите систему по этой методике:
http://virusinfo.info/showthread.php?t=15927.
AVZ и HijackThis лучше скачать повторно, а не использовать пролеченные.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:3128 F3 - REG:win.ini: run=C:\WINDOWS\fonts\services.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,autorun.bat O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O4 - HKLM\..\Policies\Explorer\Run: [exec] C:\WINDOWS\fonts\services.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'Default user')
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\D.tmp'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\2OJZLPX7\update[2].exe'); DeleteFile('C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\3VRHZD2T\update[1].exe'); DeleteFile('C:\WINDOWS\Fonts\services.exe'); DeleteFile('C:\WINDOWS\system32\A.tmp'); DeleteFile('C:\WINDOWS\system32\5.tmp'); DeleteFile('C:\WINDOWS\system32\6.tmp'); DeleteFile('C:\WINDOWS\system32\a.tmp'); DeleteFile('C:\Documents and Settings\Master\implayok.exe'); DeleteFile('C:\WINDOWS\system32\implayok.exe'); DeleteFile('C:\WINDOWS\system32\d.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
I am not young enough to know everything...
avz.exe отправил!
прикрепил новые логи.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); DeleteFile('C:\WINDOWS\system32\1C.tmp'); DeleteFile('C:\WINDOWS\system32\9.tmp'); DeleteFile('C:\WINDOWS\system32\c.tmp'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userini'); DeleteFile('C:\WINDOWS\fonts\services.exe'); DeleteFile('.\28.tmp'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','imPlayok'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','imPlayok'); QuarantineFile('c:\windows\temp\gtk6.tmp',''); StopService('ERSvcSCardSvr'); QuarantineFile('C:\WINDOWS\system32\24y.exe',''); DeleteFile('c:\windows\temp\gtk6.tmp'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM.
- Удалите Bonjour
Не удается загрузить файл quarantine.zip из папки AVZ - пишет, что такой файл был уже загружен.
Службу Бонжур не обнаружил, но все процедуры сделал.
Прикрепляю новые отчеты:
1. профиксить в MBAM
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:Заражено ключей реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> No action taken.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini ',''); QuarantineFile('C:\WINDOWS\system32\jyitww.dll',''); QuarantineFile('C:\WINDOWS\system32\5766,871.exe',''); DeleteService('Bonjour Service'); DeleteFileMask('%programfiles%\Bonjour\','*.*',true); DeleteDirectory('%programfiles%\Bonjour\'); DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service'); QuarantineFile('C:\WINDOWS\TEMP\gtk2.tmp',''); DeleteFile('C:\WINDOWS\TEMP\gtk2.tmp'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(14); BC_DeleteSvc('Bonjour Service'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Добавлено через 2 минуты
+ Сделать лог Gmer
Последний раз редактировалось polword; 10.02.2010 в 15:35. Причина: Добавлено
Карантин загрузил, браузер ИЕ8 не открывается в окне.
Логи прикрепил.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\24y.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\KGootkit.sys',''); QuarantineFile('C:\WINDOWS\TEMP\gtk1B.tmp',''); DeleteFile('C:\WINDOWS\TEMP\gtk1B.tmp'); DeleteFile('C:\WINDOWS\System32\drivers\KGootkit.sys'); DeleteFile('C:\WINDOWS\system32\24y.exe'); DeleteFile('C:\WINDOWS\system32\jyitww.dll'); DeleteFileMask('C:\WINDOWS\TEMP', '*.*',true); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('KGootkit'); BC_DeleteSvc('ERSvcSCardSvr'); BC_Activate; RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\msilm'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\msilm\Parameters'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\msilm'); RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\msilm'); RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\msilm\Parameters'); RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\msilm'); RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run'); RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load'); RegKeyParamDel( 'HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run'); RegKeyParamDel( 'HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load'); RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (стандартный комплект по правилам).
I am not young enough to know everything...
OK! Браузер запускается. Ошибки все также вылетают.
Карантин отослал. Новые логи прикрепил.
Ребята, понимаю вашу нагрузку, но все-таки, что с дальнейшим лечением?
- Выполните скрипт в AVZ
После перезагрузки:Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Лечить LiveCD сейчас нету возможности, буду вечером.
А вот скрипт выполнить не удается - пишет:
Ошибка: ')' expected в позиции 3:34
Добавлено: поправил, каратнин выслал.
Последний раз редактировалось solarr; 12.02.2010 в 15:21. Причина: добавление
Снова приветствую!
Пролечил на выходных LiveCD Dr.Web.
Посмотрите, пожалуйста свежие логи.
в логах чисто.
Понятно, но все-таки при загрузке выскакивают две ошибки. Сначала в процссе alg.exe, потом wdfmgr.exe. Также не запускаются: диспетчер задач, диспетчер устройств, services.msc... Да, и при открытии Блокнота вылетает сообщение о невозможности использования данного приложения.
пуск выполнить sfc /scannow (понадобится диск с дистрибутивом )
В том-то и дело, что нету того дистрибутива.
Уважаемый(ая) solarr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
