расадник зверей

[Bratez]

Пофиксите в HijackThis эти строки:

Код:

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll (file missing)
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Program Files\Mass Downloader\MDHELPER.DLL (file missing)
O2 - BHO: (no name) - {F5938714-BD46-408A-9842-4058206D37E3} - C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp (file missing)
O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
O4 - Global Startup: Instant Update Reminder.lnk = ?
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} - 
O20 - Winlogon Notify: windpy32 - C:\WINDOWS\SYSTEM32\windpy32.dll
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
O21 - SSODL: 0DBGBCDJ - {142A7AEF-2563-3E2F-4E00-67DE76824D49} - (no file)
O21 - SSODL: mtklefap - {333C787E-2EF3-4B7C-D3AC-9FAD6D463B60} - C:\WINDOWS\System32\gqlpw32.dll (file missing)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\System32\Gojgbplm.dll (file missing)
O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Program Files\Common Files\winctl.dll (file missing)
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\System32\dfme.dll (file missing)

Самое неприятное - Winlogon.exe у вас патченный, его надо заменить из дистрибутива, загрузившись в консоль восстановления или с LiveCD.

Работайте, пока еще разбираюсь с карантином.

[Bratez]

В куче пропустил кое-что, а некоторые уклонились от карнтина.
Выполните такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\System32\dnsersnd.dll','');
 QuarantineFile('C:\WINDOWS\retadpu27.exe','');
 QuarantineFile('C:\WINDOWS\System32\spoolsvv.exe','');
 QuarantineFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe','');
RebootWindows(true);
end.

Потом постарайтесь разыскать (AVZ - Поиск файлов на диске) эти и добавить в карантин:
C:\windows\bfxtray.exe
C:\windows\webal.exe
c:\windows\system32\ldcore.dll
v7.exe
после чего загрузите карантин по правилам.

[Bratez]

А из первого карантина еще двое зловредов выявилось.
Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\windows\system32\smpi1\bin.exe');
 BC_DeleteFile('c:\windows\system32\smpi1\bin.exe');
 BC_DeleteSvc('ndisrd.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Логи пока делать не надо, жду второй карантин.
Ух! Пора на перекур, а то уже уши в трубочку

[fotorama]

Логи пока делать не надо, жду второй карантин.
Ух! Пора на перекур, а то уже уши в трубочку

благодарю за скрипты карантин пока выслать не могу насителя нет( а к сети такой комп подключать мне не кто не даст

[fotorama]

QuarantineFile('C:\WINDOWS\System32\dnsersnd.dll', '');
QuarantineFile('C:\WINDOWS\retadpu27.exe','');этог о файла на диски нету

QuarantineFile('C:\WINDOWS\System32\spoolsvv.exe', ''); этот фай в какрантин лезть не захотел(((( я его отдельным архивом пришлю
QuarantineFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe','');папки этой тоже нет
C:\windows\bfxtray.exe
C:\windows\webal.exe
c:\windows\system32\ldcore.dll
v7.exe этих файлов тоже не через авз не через поиск не нашол

[fotorama]

C:\WINDOWS\System32\spoolsvv.exe не нашол такого файла зато нашол C:\WINDOWS\System32\spoolsvv.sys

а вот и карантин
Файл сохранён как/td> 070508_091048_virus.fotorama_464006581d31c.zip
Размер файла 47773
MD5 f075fc9aa7c8a99ac3b89a48ef222094

[fotorama]

а вот и ответ от вирус тотал
C:\WINDOWS\System32\spoolsvv.sys
я его ужо ручками удалил
да кстате в тойже папке есть еще spoolsv.exe
ща и его проверю
AhnLab-V32007.5.8.005.07.2007 no virus found
AntiVir7.4.0.1505.07.2007TR/Rootkit.Gen
Authentium4.93.805.07.2007 no virus found
Avast4.7.997.005.07.2007 no virus found
AVG7.5.0.46705.07.2007I-Worm/Generic.BFUBitDefender7.205.08.2007Trojan.Peed.NH
CAT-QuickHeal9.0005.07.2007 no virus found
ClamAVdevel-2007041605.07.2007 no virus found
DrWeb4.3305.07.2007 no virus found
eSafe7.0.15.005.07.2007 no virus foun
deTrust-Vet30.7.361605.07.2007Win32/Tibs
Ewido4.005.07.2007Worm.Zhelatin.dnFile
Advisor105.08.2007 No threat detected
Fortinet2.85.0.005.08.2007suspicious
F-Prot4.3.2.4805.07.2007 no virus found
F-Secure6.70.13030.005.08.2007Email-Worm.Win32.Zhelatin.dnIkarus
T3.1.1.705.08.2007Email-Worm.Win32.Zhelatin.dn
Kaspersky4.0.2.2405.08.2007Email-Worm.Win32.Zhelatin.dn
McAfee502505.07.2007 no virus found
Microsoft1.250305.07.2007 no virus found
NOD32v2224805.07.2007 no virus found
Norman5.80.0205.07.2007W32/Tibs.AFVM
Panda9.0.0.405.07.2007W32/Spamta.XA.worm
Prevx1V205.08.2007Malicious
Sophos4.17.005.07.2007 no virus found
Sunbelt2.2.907.005.05.2007FiveSec.Spam.Agent.vxSymantec1005.08.2007 no virus found
TheHacker6.1.6.10805.06.2007 no virus found
VBA323.11.405.07.2007 no virus found
VirusBuster4.3.7:905.07.2007 no virus found
Webwasher-Gateway6.0.105.08.2007Trojan.Rootkit.Gen
я его ужо ручками удалил
да кстате в тойже папке есть еще spoolsv.exe
ща и его проверю

[fotorama]

Самое неприятное - Winlogon.exe у вас патченный, его надо заменить из дистрибутива, загрузившись в консоль восстановления

как через консоль поменять winlogon
и заодно еще вопросик уменя есть димтрибьютив только sp2 а там винда даже не sp1

[Bratez]

заодно еще вопросик уменя есть димтрибьютив только sp2 а там винда даже не sp1

Очень хорошо, тогда не только винлогон заменить, а сделать установку поверх имеющейся системы в режиме "восстановления". Но это дело мы лучше отложим напоследок, когда всю нечисть выведем.
Извиняюсь, сейчас не могу заняться вашей темой, надо убежать на пару часов, как вернусь - продолжим.

[fotorama]

Очень хорошо, тогда не только винлогон заменить, а сделать установку поверх имеющейся системы в режиме "восстановления". Но это дело мы лучше отложим напоследок, когда всю нечисть выведем.
Извиняюсь, сейчас не могу заняться вашей темой, надо убежать на пару часов, как вернусь - продолжим.

ок жду...... тока переустановить винду мне не дадут((
хотя я хз почему но скозали что она должна жить......
умя есть обновления до сп2 мож это поможет?
P/s вопрос не в тему а аватарки только администрация может ставить?

[Bratez]

Выполните такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\dnsersnd.dll');
 DeleteFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe');
 DeleteFile('C:\WINDOWS\System32\spoolsvv.exe');
 DeleteFile('C:\WINDOWS\retadpu27.exe');
 DeleteFile('C:\windows\bfxtray.exe');
 DeleteFile('C:\windows\webal.exe');
 DeleteFile('c:\windows\system32\ldcore.dll');
 DeleteFile('windpy32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и сделайте логи начиная с п.10 правил.

P/s вопрос не в тему а аватарки только администрация может ставить?

Мой кабинет - Изменить аватар...

[PavelA]

P/s вопрос не в тему а аватарки только администрация может ставить?

Аватарки после 100 сообщений.

[fotorama]

Выполните такой скрипт:

после завершения скрипта комп не перезагрузился пришлось жать ресет

[fotorama]

все зделал вот логи

[Bratez]

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('v7.exe');
 DeleteFile('ndisrd.sys');
 BC_DeleteSvc('ndisrd');
 BC_DeleteFile('ndisrd.sys');
 BC_DeleteFile('v7.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пофиксите в HijackThis:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.traffer.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://start.traffer.ru/first/
O2 - BHO: IE Redirector - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\System32\dnsersnd.dll (file missing)

Запустите окно командной строки и выполните команды:
sc delete cmdService
sc delete dnlsvc
sc delete vwservice

Я бы пофиксил еще и эти строчки, ввиду полной бесполезности, но это только мое imho, на ваше усмотрение:

Код:

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\PROGRA~1\Creative\SPLASH~1\CTEaxSpl.EXE /run
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

После этого останется лишь патченый винлогон.

[Bratez]

Предлагаемая переустановка Windows в режиме "Обновления" как раз и предполагает полное сохранение всех установленных приложений и пользовательских профилей со всеми настройками, папками и т.д. Заменяются только системные файлы. Таким образом мы решаем сразу две проблемы - восстановление winlogon.exe и обновление системы до SP2, ничего при этом не теряя. Если нужно, порядок действий расскажу.

[fotorama]

Предлагаемая переустановка Windows в режиме "Обновления" как раз и предполагает полное сохранение всех установленных приложений и пользовательских профилей со всеми настройками, папками и т.д. Заменяются только системные файлы. Таким образом мы решаем сразу две проблемы - восстановление winlogon.exe и обновление системы до SP2, ничего при этом не теряя. Если нужно, порядок действий расскажу.

порядок действий я знаю ... но есть один вопросик винда на ео системе понятное дело крякнутая.... не будетли проблем изза того что я поставлю SP 2 ... нен придется ли его еще раз крякать кто муж кряка у мну нет(

[fotorama]

все зделал кроме обнавлений еще логи нужны?

[fotorama]

Благодарю за помощ..... щас меня отпукают с работы пораньше та к что вернусь к этому компу тока 10 мая ..... всем приятного проведения праздника!!!!

[Bratez]

После обновления логи надо будет для контроля.
С наступающим!