Привет!

Опять обращаюсь к вам за помощью. Комп заболел какой-то гадостью. Я его долго мучал Нортоном и другими приблудами, т.к. AVZ в обычном режиме он включать не давал. В защищенном все шло гладко и удалялось куча гадостей. Но в обычном режиме ниче не получалось. Комп после старта сильно тормозил. Не загружал все, что надо Потом можно было работать миг с 15 и опять тоже самое. Потом я услышал про Look2Me. Залез к вам и действовал согласно инструкциям о Dr.Web...
http://virusinfo.info/showthread.php?t=4481
Нортон удалось удалить с большим скрипом, но получилось. Теперь, вроде как, все в норме, но я не уверен...потому прошу глянуть логи....
И еще...после загрузки вылазит "ошибка Winlogon"...вот здесь говорится, что можете помочь 8)
http://virusinfo.info/showpost.php?p=63406&postcount=16
а когда пытаешься открыть Инет, вылазит вот такая хрень (см. картинку в прицепе)

Заранее очень благодарен!!!

Пришлите

C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\system32\bum588.exe
C:\WINDOWS\inet20004\winlogon.exe
c:\stub_113_4_0_4_0.exe
С:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
C:\WINDOWS\system32\aaoofiid.dll
C:\WINDOWS\system32\en86l1ls1.dll
C:\WINDOWS\system32\mzdtctm.dll

Поищите

hpprintx.dll
msupdate32.dll
ssldr32.dll
wancp.dll

Пофиксите

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/152f78658dcc8278fe05/netzip/RdxIE601.cab
O20 - Winlogon Notify: hpprintx - hpprintx.dll (file missing)
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\en86l1ls1.dll (file missing)
O20 - Winlogon Notify: ssldr - ssldr32.dll (file missing)
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
O20 - Winlogon Notify: wancp - wancp.dll (file missing)
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - C:\WINDOWS\system32\aaoofiid.dll (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

В файле Hosts (C:\WINDOWS\system32\drivers\etc\hosts) все записи кроме 127.0.0.1 localhost удалите

Так-же пришлите, если найдёте -
C:\Program Files\MSN Messenger\MsnMsgr.Exe"
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\VCClient\VCClient.exe
C:\Program Files\Common Files\VCClient\VCMain.exe
C:\WINDOWS\system32\aaoofiid.dll
hpprintx.dll
en86l1ls1.dll

Высылаю, что нашел. Ошибки при загрузке и открытии Инет-а пропали. Также кидаю логи. Хотел кинуть еще один архив, но 1-е -> он не влазит, а 2-е -> говорит, что поврежден

На будущее: подозрительные файлы следует присылать на virus[at]virusinfo.info

А вот это не нашли? C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
C:\WINDOWS\inet20004\winlogon.exe

Пофиксите

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

А вот это не нашли? C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll

вот это находит, но в карантин не добавляет...



C:\WINDOWS\inet20004\winlogon.exe

Этого нет совсем...

Попробуйте осуществить поиск в безопасном режиме загрузки системы.

вот это находит, но в карантин не добавляет...

Хорошая зверюга, очень желательно всёже вытащить для пополнения "коллекции", потому как весьма редкая.

Качаете свежий AVZ, включаете AVZGuard, потом идёте в "Сервис-Менеджер автозапуска" находите ur32art.dll выбираете удалить запись и перезагружаетесь не выключая Guard, после перезагрузки пробуете скопировать и прислать нам, ну заодно и стереть.

Хорошая зверюга, очень желательно всёже вытащить для пополнения "коллекции", потому как весьма редкая.

окб постараюсь! 8)



включаете AVZGuard

вот тут не понял...это сам AVZ или как?

все, понял....не посмотрел просто, а сразу спрашивать полез...8))

В Менеджере автозапуска я не нашел эту заразу (см. прицеп)

Хотел еще спросить...компом в данный момент мона пользоваться? Насколько велика вероятность заражения другого компа, если на уже зараженном сделать какой либо документ и перекинуть на "здоровый"? А в Инет вылазить мона? Хуже не станет?

кстати о прицепах...у меня там уже больше половины допустимого места занято...это как-то можно подчистить?

Сделайте новые логи, а то непонятно что осталось, а чего уже нет, возможно доктор до неё уже "добрался" раньше Вас.

C:\WINDOWS\inet20004\winlogon.exe - Это и есть искомый зверь ... - он на картинке виден ...

C:\WINDOWS\inet20004\winlogon.exe - Это и есть искомый зверь ... - он на картинке виден ...


дык и че делать-то?? 8)) логи высылать?

C:\WINDOWS\inet20004\winlogon.exe стереть в Safe моде если остался (вместе с каталогом inet20004)копия нам тоже не помешает и повторите логи, непонятно что есть, чего уже нет.

Кинул вам на почту архив со всей папкой....глянте, там эта гадость или нет, а то удалю и вам не достанется...

Удаляйте C:\WINDOWS\inet20004 уже известная гадость (из той же "компании" inet2001, inet2002, inet2003, inet2005 в каталоге Windows) , и сделайте свежие логи, я уже запутался честно говоря что дальше советовать, без логов не видно, что есть, что нет, что удалилось, что осталось, а что "может быть" удалилось - кофейная гуща.
Может там уже лечить нечего, сейчас в таком случае напоследок общую зачистку подскажу, Cookes и прочий мусор пособирать, да закончим эту тягомотину.

вроде получилось удалить....вот логи

Последний "выживший"
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Второй "заход" -
AVZ -> AVZ GUARD
Запустить "доверенное приложение" (там-же где и Guard)
Выбираете и запускаете HijackThis
В Hijack - Пофиксить
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Закрыть Hijack, закрыть AVZ неотключая Guard
Перезагрузиться.
Попробовать скопировать и стереть -
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Если получиться dll-ку нам.

Если нет ещё вариант -
AVZ - файл->Отложенное удаление
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Перезагрузка
Hijack -
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Ещё перезагрузка

Лог Hijak на проверку.

Вроде удалилось...глянте лог плз...dll-ку отослал...только чет меня в логе вот это смущает...
O20 - Winlogon Notify: ur32artreg - C:\WINDOWS\
или мои подозрения беспочвенны??

Вроде удалилось...глянте лог плз...dll-ку отослал...только чет меня в логе вот это смущает...
O20 - Winlogon Notify: ur32artreg - C:\WINDOWS\
или мои подозрения беспочвенны??
Глюк, поставьте галку на против этой строки и нажмите Fix.

Если не поможет создайте reg файл следующего содержимого, и добавьте его в реестр.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ur32artreg]

в принципе толку он него уже никакого.

Если есть желание можете напоследок пройтись Ewido Microscaner`ом (http://download.ewido.net/ewido_micro.exe) нового врятли чего найдёт, но реестр от мусора почистит и левые кукисы пособирает (скачать придётся около 5ти мб).

Вроде удалилось...глянте лог плз...dll-ку отослал...только чет меня в логе вот это смущает...
O20 - Winlogon Notify: ur32artreg - C:\WINDOWS\
или мои подозрения беспочвенны??
ur32art.dll = Trojan-PSW.Win32.Lineage.pa - так что файл нужно удалить, а все пароли - поменять.

Вот сделал скрин с того, что нашлось...Хотел сюда закинуть, но не влазит...выложил в Инете...вот ссылка
http://ff02.photofile.ru/cphoto/052/19c/1099941/large/950834304400c05eaa307.jpg

потом нажал на удаление. Кидаю на всякий случай еще лог.

Ребят!

Ну дык как дела мои?? Все получилось или как? :?

Ребят!
Ну дык как дела мои?? Все получилось или как? :?
В логах - чисто, если визуально никаких проблем нет то всё OK.
Единственно патчик http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx поставьте себе, это через ту дырку в винде, которую он закрывает, вам столько всякого и разного налезло.

Если компьютер домашний - не помешает поставить Firewall (бесплатные и платные можно найти в соответств. разделе форума) или влючить тот фаервол, который встроен в Windows.

Громдное вам спасибо в очередной раз!!!

Если компьютер домашний - не помешает поставить Firewall (бесплатные и платные можно найти в соответств. разделе форума) или влючить тот фаервол, который встроен в Windows.

Пытаюсь открыть "свойства" Firewall-a, а отот гад говорит, что из-за непонятной причины невозможно открыть... в безопасном режиме таже история...

Пытаюсь открыть "свойства" Firewall-a, а отот гад говорит, что из-за непонятной причины невозможно открыть... в безопасном режиме таже история...
А какой фаервол то ?
Встроенный что-ли.

Да, встроенный. Стоит ХР SP1

Однозначно надо ставить СП2. Там фаер более божеский. В принципе его должно хватать при соблюдении правил компьютерной безопасности.

ок, пасиб еще раз!!