Сил уже нет. Ни куреит ни АВтул справится не может. Где-тосидит и себя в каждую флешку пишет. Как справляться не знаю.
Логи приложил. Спасите.
Printable View
Сил уже нет. Ни куреит ни АВтул справится не может. Где-тосидит и себя в каждую флешку пишет. Как справляться не знаю.
Логи приложил. Спасите.
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O4 - HKLM\..\Run: [myci] C:\WINDOWS\system32\mewuv.exe
O4 - HKLM\..\Run: [hubo] C:\WINDOWS\system32\hittiwulav.exe
O4 - HKCU\..\Run: [loomad] C:\Documents and Settings\Администратор\Application Data\Microsoft\touberoge.exe
O4 - HKCU\..\Run: [myci] C:\Documents and Settings\Администратор\Application Data\Microsoft\mewuv.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hittiwulav.exe','');
QuarantineFile('C:\WINDOWS\system32\mewuv.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\fxmdk.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\fswagz.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\touberoge.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\mewuv.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\mewuv.exe','');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\mewuv.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\mewuv.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\touberoge.exe');
DeleteFile('C:\Documents and Settings\Администратор\fswagz.exe');
DeleteFile('C:\Documents and Settings\Администратор\fxmdk.exe');
DeleteFile('C:\WINDOWS\system32\mewuv.exe');
DeleteFile('C:\WINDOWS\system32\hittiwulav.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ao7ouveuyoquo7');
BC_DeleteSvc('k3e5ouflu');
BC_DeleteSvc('LVPrcSrv');
BC_DeleteSvc('oeuagxtye');
BC_DeleteSvc('u8wyeika1u6yas1y');
BC_DeleteSvc('DwProt');
BC_DeleteSvc('Lvckap');
BC_DeleteSvc('LVPrcMon');
BC_DeleteSvc('PID_0928');
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=101631[/url]).
Сделайте новые логи.
проблема похоже забодалась. логи прилагаю, карантин закачал.
Отключите[B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
WhatService('rshwayd');
QuarantineFile('C:\WINDOWS\TEMP\DAT1.tmp.exe','');
QuarantineFile('C:\WINDOWS\TEMP\DAT9.tmp.exe','');
QuarantineFile('C:\WINDOWS\TEMP\DAT100.tmp.exe','');
QuarantineFile('C:\WINDOWS\TEMP\DAT8.tmp.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_DeleteSvc('cmbhborxopexu');
BC_DeleteSvc('fezuhhbl');
BC_DeleteSvc('ftzknsxzxr');
BC_DeleteSvc('lhtqjlgdg');
BC_DeleteSvc('pxeehrgtovedrb');
BC_DeleteSvc('sghdzmfxnmm');
BC_DeleteSvc('tqmlprifztgear');
BC_DeleteSvc('tqmlprifztgear');
BC_Activate;
SaveLog(GetAVZDirectory+'rshwayd.log');
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- файл [COLOR="Blue"][B]rshwayd.log[/B][/COLOR] прикрепите к сообщению
Служба восстановления не просто отключена, она вообще отсутствует в системе.
Дурацкая сборка винды. Некоторые службы вырезаны, в том числе планировщик хзадач и служба востановления системы. я бы убил давно, и поставил нормальную, но там у моей очень хорошей знакомой настроена онлайновая программа ля работы на дому, к которой утеряны установочные данные, и она работает пока может. Собственно задача и состоит В том чтобы вернуть работоспособность системы для того чтобы перерегистрироваться с действующего аккаунта.
Логи прилагаю, карантин загрузил.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jiaof.dll','');
DeleteFile('C:\WINDOWS\system32\jiaof.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\rshwayd\Parameters','ServiceDll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]