-
Пофиксите в HijackThis эти строки:
Код:
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll (file missing)
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Program Files\Mass Downloader\MDHELPER.DLL (file missing)
O2 - BHO: (no name) - {F5938714-BD46-408A-9842-4058206D37E3} - C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp (file missing)
O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
O4 - Global Startup: Instant Update Reminder.lnk = ?
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
O20 - Winlogon Notify: windpy32 - C:\WINDOWS\SYSTEM32\windpy32.dll
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
O21 - SSODL: 0DBGBCDJ - {142A7AEF-2563-3E2F-4E00-67DE76824D49} - (no file)
O21 - SSODL: mtklefap - {333C787E-2EF3-4B7C-D3AC-9FAD6D463B60} - C:\WINDOWS\System32\gqlpw32.dll (file missing)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\System32\Gojgbplm.dll (file missing)
O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Program Files\Common Files\winctl.dll (file missing)
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\System32\dfme.dll (file missing)
Самое неприятное - Winlogon.exe у вас патченный, его надо заменить из дистрибутива, загрузившись в консоль восстановления или с LiveCD.
Работайте, пока еще разбираюсь с карантином.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В куче пропустил кое-что, а некоторые уклонились от карнтина.
Выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\dnsersnd.dll','');
QuarantineFile('C:\WINDOWS\retadpu27.exe','');
QuarantineFile('C:\WINDOWS\System32\spoolsvv.exe','');
QuarantineFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe','');
RebootWindows(true);
end.
Потом постарайтесь разыскать (AVZ - Поиск файлов на диске) эти и добавить в карантин:
C:\windows\bfxtray.exe
C:\windows\webal.exe
c:\windows\system32\ldcore.dll
v7.exe
после чего загрузите карантин по правилам.
-
-
А из первого карантина еще двое зловредов выявилось.
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\smpi1\bin.exe');
BC_DeleteFile('c:\windows\system32\smpi1\bin.exe');
BC_DeleteSvc('ndisrd.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи пока делать не надо, жду второй карантин.
Ух! Пора на перекур, а то уже уши в трубочку
-
-
Сообщение от
Bratez
Логи пока делать не надо, жду второй карантин.
Ух! Пора на перекур, а то уже уши в трубочку
благодарю за скрипты карантин пока выслать не могу насителя нет( а к сети такой комп подключать мне не кто не даст
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
QuarantineFile('C:\WINDOWS\System32\dnsersnd.dll', '');
QuarantineFile('C:\WINDOWS\retadpu27.exe','');этог о файла на диски нету
QuarantineFile('C:\WINDOWS\System32\spoolsvv.exe', ''); этот фай в какрантин лезть не захотел(((( я его отдельным архивом пришлю
QuarantineFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe','');папки этой тоже нет
C:\windows\bfxtray.exe
C:\windows\webal.exe
c:\windows\system32\ldcore.dll
v7.exe этих файлов тоже не через авз не через поиск не нашол
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
C:\WINDOWS\System32\spoolsvv.exe не нашол такого файла зато нашол C:\WINDOWS\System32\spoolsvv.sys
а вот и карантин
Файл сохранён как/td> 070508_091048_virus.fotorama_464006581d31c.zip
Размер файла 47773
MD5 f075fc9aa7c8a99ac3b89a48ef222094
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
а вот и ответ от вирус тотал
C:\WINDOWS\System32\spoolsvv.sys
я его ужо ручками удалил
да кстате в тойже папке есть еще spoolsv.exe
ща и его проверю
AhnLab-V32007.5.8.005.07.2007 no virus found
AntiVir7.4.0.1505.07.2007TR/Rootkit.Gen
Authentium4.93.805.07.2007 no virus found
Avast4.7.997.005.07.2007 no virus found
AVG7.5.0.46705.07.2007I-Worm/Generic.BFUBitDefender7.205.08.2007Trojan.Peed.NH
CAT-QuickHeal9.0005.07.2007 no virus found
ClamAVdevel-2007041605.07.2007 no virus found
DrWeb4.3305.07.2007 no virus found
eSafe7.0.15.005.07.2007 no virus foun
deTrust-Vet30.7.361605.07.2007Win32/Tibs
Ewido4.005.07.2007Worm.Zhelatin.dnFile
Advisor105.08.2007 No threat detected
Fortinet2.85.0.005.08.2007suspicious
F-Prot4.3.2.4805.07.2007 no virus found
F-Secure6.70.13030.005.08.2007Email-Worm.Win32.Zhelatin.dnIkarus
T3.1.1.705.08.2007Email-Worm.Win32.Zhelatin.dn
Kaspersky4.0.2.2405.08.2007Email-Worm.Win32.Zhelatin.dn
McAfee502505.07.2007 no virus found
Microsoft1.250305.07.2007 no virus found
NOD32v2224805.07.2007 no virus found
Norman5.80.0205.07.2007W32/Tibs.AFVM
Panda9.0.0.405.07.2007W32/Spamta.XA.worm
Prevx1V205.08.2007Malicious
Sophos4.17.005.07.2007 no virus found
Sunbelt2.2.907.005.05.2007FiveSec.Spam.Agent.vxSymantec1005.08.2007 no virus found
TheHacker6.1.6.10805.06.2007 no virus found
VBA323.11.405.07.2007 no virus found
VirusBuster4.3.7:905.07.2007 no virus found
Webwasher-Gateway6.0.105.08.2007Trojan.Rootkit.Gen
я его ужо ручками удалил
да кстате в тойже папке есть еще spoolsv.exe
ща и его проверю
Последний раз редактировалось anton_dr; 08.05.2007 в 19:01.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Сообщение от
Bratez
Самое неприятное - Winlogon.exe у вас патченный, его надо заменить из дистрибутива, загрузившись в консоль восстановления
как через консоль поменять winlogon
и заодно еще вопросик уменя есть димтрибьютив только sp2 а там винда даже не sp1
Последний раз редактировалось fotorama; 08.05.2007 в 10:43.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
заодно еще вопросик уменя есть димтрибьютив только sp2 а там винда даже не sp1
Очень хорошо, тогда не только винлогон заменить, а сделать установку поверх имеющейся системы в режиме "восстановления". Но это дело мы лучше отложим напоследок, когда всю нечисть выведем.
Извиняюсь, сейчас не могу заняться вашей темой, надо убежать на пару часов, как вернусь - продолжим.
-
-
Сообщение от
Bratez
Очень хорошо, тогда не только винлогон заменить, а сделать установку поверх имеющейся системы в режиме "восстановления". Но это дело мы лучше отложим напоследок, когда всю нечисть выведем.
Извиняюсь, сейчас не могу заняться вашей темой, надо убежать на пару часов, как вернусь - продолжим.
ок жду...... тока переустановить винду мне не дадут((
хотя я хз почему но скозали что она должна жить......
умя есть обновления до сп2 мож это поможет?
P/s вопрос не в тему а аватарки только администрация может ставить?
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\dnsersnd.dll');
DeleteFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe');
DeleteFile('C:\WINDOWS\System32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\retadpu27.exe');
DeleteFile('C:\windows\bfxtray.exe');
DeleteFile('C:\windows\webal.exe');
DeleteFile('c:\windows\system32\ldcore.dll');
DeleteFile('windpy32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и сделайте логи начиная с п.10 правил.
P/s вопрос не в тему а аватарки только администрация может ставить?
Мой кабинет - Изменить аватар...
Последний раз редактировалось Bratez; 08.05.2007 в 13:58.
-
-
Сообщение от
fotorama
P/s вопрос не в тему а аватарки только администрация может ставить?
Аватарки после 100 сообщений.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
Bratez
Выполните такой скрипт:
после завершения скрипта комп не перезагрузился пришлось жать ресет
Последний раз редактировалось anton_dr; 08.05.2007 в 19:01.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Последний раз редактировалось fotorama; 10.05.2007 в 17:40.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('v7.exe');
DeleteFile('ndisrd.sys');
BC_DeleteSvc('ndisrd');
BC_DeleteFile('ndisrd.sys');
BC_DeleteFile('v7.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксите в HijackThis:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.traffer.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://start.traffer.ru/first/
O2 - BHO: IE Redirector - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\System32\dnsersnd.dll (file missing)
Запустите окно командной строки и выполните команды:
sc delete cmdService
sc delete dnlsvc
sc delete vwservice
Я бы пофиксил еще и эти строчки, ввиду полной бесполезности, но это только мое imho, на ваше усмотрение:
Код:
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\PROGRA~1\Creative\SPLASH~1\CTEaxSpl.EXE /run
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
После этого останется лишь патченый винлогон.
-
-
Предлагаемая переустановка Windows в режиме "Обновления" как раз и предполагает полное сохранение всех установленных приложений и пользовательских профилей со всеми настройками, папками и т.д. Заменяются только системные файлы. Таким образом мы решаем сразу две проблемы - восстановление winlogon.exe и обновление системы до SP2, ничего при этом не теряя. Если нужно, порядок действий расскажу.
-
-
Сообщение от
Bratez
Предлагаемая переустановка Windows в режиме "Обновления" как раз и предполагает полное сохранение всех установленных приложений и пользовательских профилей со всеми настройками, папками и т.д. Заменяются только системные файлы. Таким образом мы решаем сразу две проблемы - восстановление winlogon.exe и обновление системы до SP2, ничего при этом не теряя. Если нужно, порядок действий расскажу.
порядок действий я знаю ... но есть один вопросик винда на ео системе понятное дело крякнутая.... не будетли проблем изза того что я поставлю SP 2 ... нен придется ли его еще раз крякать кто муж кряка у мну нет(
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
все зделал кроме обнавлений еще логи нужны?
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Благодарю за помощ..... щас меня отпукают с работы пораньше та к что вернусь к этому компу тока 10 мая ..... всем приятного проведения праздника!!!!
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
После обновления логи надо будет для контроля.
С наступающим!
-