После удаления содержимого параметра AppInit_DLLs и соответствующих файлов, комп загружается, но при попытке открыть что-нибудь зависает! ((
удалось сделать некоторые логи только в защищеном режиме
После удаления содержимого параметра AppInit_DLLs и соответствующих файлов, комп загружается, но при попытке открыть что-нибудь зависает! ((
удалось сделать некоторые логи только в защищеном режиме
Последний раз редактировалось thyrex; 22.07.2011 в 11:11.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('F:\autorun.inf',''); QuarantineFile('\\?\globalroot\systemroot\system32\qHsn6ul.exe',''); QuarantineFile('C:\WINDOWS\system32\aacbf17e.exe',''); QuarantineFile('C:\WINDOWS\System32\netprotocol.exe',''); QuarantineFile('C:\Program Files\Common Files\System\WebCheck.dll',''); DeleteService('userinit'); QuarantineFile('globalroot\systemroot\system32\usеrinit.exe',''); QuarantineFile('C:\WINDOWS\system32\srnh.lto',''); DeleteFile('C:\WINDOWS\system32\srnh.lto'); DeleteFile('globalroot\systemroot\system32\usеrinit.exe'); DeleteFile('C:\Program Files\Common Files\System\WebCheck.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck'); DeleteFile('C:\WINDOWS\System32\netprotocol.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); DeleteFile('C:\WINDOWS\system32\aacbf17e.exe'); DeleteFile('\\?\globalroot\systemroot\system32\qHsn6ul.exe'); DeleteFile('F:\autorun.inf'); RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); ExecuteRepair(11); ExecuteRepair(17); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
А также
Пофиксите в HiJack (некоторых строчек может не быть)
Код:F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\aacbf17e.exe,\\?\globalroot\systemroot\system32\qHsn6ul.exe, O20 - AppInit_DLLs: "
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
выполнил. проблема осталась. стрелка двигается, но все зависло
новые логи
Последний раз редактировалось thyrex; 22.07.2011 в 11:12.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\netprotdrvss',''); QuarantineFile('C:\WINDOWS\system32\netprotocol.dll',''); DeleteFile('C:\WINDOWS\system32\netprotocol.dll'); DeleteFile('C:\WINDOWS\system32\netprotdrvss'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
проблема осталась. винда виснет.
логи
- обновите базы AVZВнимание !!! База поcледний раз обновлялась 25.05.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
- Переделайте логи virusinfo_syscure.zip и virusinfo_syscheck.zip в нормальном режиме
в нормальном режиме не получается, как только я запускаю какое нибудь приложения винда виснет, кроме мыши
делайте в safe mode, только базы обновите
ок. базы обновил. вот логи
Последний раз редактировалось thyrex; 22.07.2011 в 11:13.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log) - в нормальном режиме
проблема осталась. винда зависает!
пришлите
Добавлено через 36 секунд
сделайте лог Combofix
Последний раз редактировалось polword; 10.06.2010 в 23:08. Причина: Добавлено
Как славно поработал AVZ
Также выполните
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); ExecuteSysClean; RebootWindows(true); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\system\webcheck.dll - Trojan-PSW.Win32.WebMoner.to ( DrWEB: Trojan.Mifesto, BitDefender: Trojan.Generic.4066241 )
- c:\windows\system32\aacbf17e.exe - Trojan-Dropper.Win32.Agent.bygt ( DrWEB: Trojan.Packed.20032, BitDefender: Trojan.Generic.KD.7935, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\netprotdrvss - Backdoor.Win32.Buterat.mc ( DrWEB: Trojan.Butirat.2 )
- c:\windows\system32\netprotocol.dll - Backdoor.Win32.Buterat.md
- c:\windows\system32\netprotocol.exe - Backdoor.Win32.Buterat.mc ( DrWEB: Trojan.Butirat.2 )
- c:\windows\system32\srnh.lto - Trojan.Win32.Agent2.cqzi ( DrWEB: Trojan.Oficla.48, BitDefender: Gen:Variant.Oficla.2, NOD32: Win32/Oficla.GQ trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- f:\autorun.inf - Trojan.Win32.AutoRun.ajf ( NOD32: INF/Autorun.B.Gen virus )
- \\?\globalroot\systemroot\system32\qhsn6ul.exe - Trojan-Dropper.Win32.Shiz.cg ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.Malob.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- globalroot\systemroot\system32\usеrinit.exe - Trojan-Downloader.Win32.Agent.czhy ( DrWEB: Trojan.Winlock.794, BitDefender: Trojan.Generic.3250207, AVAST4: Win32:Trojan-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Andrey1302, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.