Запускаю вручную explorer.exe, а он сразу закрывается.
Прошу помочь
Printable View
Запускаю вручную explorer.exe, а он сразу закрывается.
Прошу помочь
Уважаемый(ая) [B]akalibr[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
AVZ 4.34
переделывайте логи последней версией avz.
Вот, как и просили.
Пожалуйста, посмотрите.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
[code]
O20 - Winlogon Notify: itcwlnp - i (file missing)
[/code]
В AVZ выполните скрипт:
[code]
begin
ClearQuarantine;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\tcpwammlib.exe');
TerminateProcessByName('c:\windows\system32\macromadendt\ruxbhk.exe');
QuarantineFile('C:\Program Files\InfoTeCS\ViPNet Client\itccspbs.dll','');
QuarantineFile('C:\smsc.exe','');
QuarantineFile('C:\Windows\System32\Debug.dll','');
QuarantineFile('C:\WINDOWS\system32\mywcc110425.dll','');
QuarantineFile('C:\WINDOWS\system32\RrmstfC.cc3','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS\8_Ss.dll','');
QuarantineFile('C:\WINDOWS\7_Ss.dll','');
QuarantineFile('C:\WINDOWS\6_Ss.dll','');
QuarantineFile('C:\WINDOWS\5_Ss.dll','');
QuarantineFile('C:\WINDOWS\4_Ss.dll','');
QuarantineFile('C:\WINDOWS\2_Ss.dll','');
QuarantineFile('C:\WINDOWS\1_Ss.dll','');
QuarantineFile('C:\WINDOWS\0_Ss.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
QuarantineFile('C:\Program Files\InfoTeCS\ViPNet Client\itccsp.dll','');
QuarantineFile('C:\Tcpz-x86.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\pfc.sys','');
QuarantineFile('C:\WINDOWS\system32\hello_tt.sys','');
SetServiceStart('itcsrf', 4);
StopService('itcsrf');
DeleteService('itcsrf');
QuarantineFile('C:\WINDOWS\system32\drivers\itcsrf.sys','');
QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
SetServiceStart('Aeeu', 4);
StopService('Aeeu');
QuarantineFile('C:\WINDOWS\system32\smsc.exe','');
SetServiceStart('WammSvc', 4);
StopService('WammSvc');
QuarantineFile('C:\WINDOWS\system32\tcpwammlib.exe','');
SetServiceStart('mswordfortsvr', 4);
StopService('mswordfortsvr');
DeleteService('Aeeu');
DeleteService('acpi24Drv');
DeleteService('WammSvc');
DeleteService('PrtSmanm');
DeleteService('mswordfortsvr');
QuarantineFile('C:\WINDOWS\system32\Macromadendt\ruxbhk.exe','');
QuarantineFile('C:\WINDOWS\Ati2evxx.exe','');
QuarantineFile('c:\windows\system32\tcpwammlib.exe','');
QuarantineFile('c:\windows\system32\macromadendt\ruxbhk.exe','');
QuarantineFile('c:\windows\ati2evxx.exe','');
DeleteFile('C:\WINDOWS\system32\Macromadendt\ruxbhk.exe');
DeleteFile('C:\WINDOWS\system32\tcpwammlib.exe');
DeleteFile('C:\WINDOWS\system32\smsc.exe');
DeleteFile('C:\WINDOWS\Ati2evxx.exe');
DeleteFile('C:\WINDOWS\system32\acpi24.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','games');
DeleteFile('C:\WINDOWS\0_Ss.dll');
DeleteFile('C:\WINDOWS\1_Ss.dll');
DeleteFile('C:\WINDOWS\2_Ss.dll');
DeleteFile('C:\WINDOWS\4_Ss.dll');
DeleteFile('C:\WINDOWS\5_Ss.dll');
DeleteFile('C:\WINDOWS\6_Ss.dll');
DeleteFile('C:\WINDOWS\7_Ss.dll');
DeleteFile('C:\WINDOWS\8_Ss.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex0\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex6\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex3\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Irmon\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex5\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex2\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ias\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex7\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex4\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Nwsapagent\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\NWCWorkstation\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSp\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Iprip\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\RrmstfC.cc3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediauCenterf\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\mywcc110425.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ccsnahh');
DeleteFile('C:\Windows\System32\Debug.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\DeBuGjrq\Parameters','ServiceDll');
DeleteFile('C:\smsc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SysAssist');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.
Файл сохранён как 110901_080917_quarantine_4e5f3dad7ba8a.zip
Размер файла 1016852
MD5 8f35f820d4ba9f0dc089b1130c8547f9
Пожалуйста
прошу помочь.
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('TCPZ', 4);
StopService('TCPZ');
DeleteService('TCPZ');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.
Сделайте лог полного сканирования [b][url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url][/b]
А также
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Файл сохранён как 110902_050138_quarantine_4e606332e1762.zip
Размер файла 16464
MD5 fdcbf40906239c05a49759de3068efa0
MBAM рантаймэрорит
поглядите, пожалуйста
c:\windows\System32\drivers\beep.sys восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url] или скопируйте с аналогичной системы
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск C
[code]KillAll::
File::
c:\windows\system32\GQBazYkx.exe
c:\windows\system32\tmpccbcj0.exe
c:\windows\system32\FAXCFHVk.exe
c:\windows\system32\tcpwamllib.exe
Driver::
123
123456
MediauCenterf
MS Medial Controlc Centerg
nex0
nex8
nex1
nex9
nex2
nex10
nex3
nex11
nex4
nex12
nex5
nex13
nex6
nex14
nex7
nex15
Tcpz-x86
WaeqSvc
WaesSvc
WaetSvc
WaexSvc
WaeySvc
WaiaSvc
WaibSvc
WaicSvc
WaidSvc
WaifSvc
WaigSvc
olema
WaiiSvc
WaijSvc
WaikSvc
WailSvc
WaimSvc
start
NetSvc::
nex0
nex1
nex2
nex3
nex4
nex5
nex6
nex7
nex8
nex9
nex10
nex11
nex12
nex13
nex14
nex15
WaeqSvc
WaesSvc
WaetSvc
WaexSvc
WaeySvc
WaiaSvc
WaibSvc
WaicSvc
WaidSvc
WaifSvc
WaigSvc
olema
WaiiSvc
WaijSvc
WaikSvc
WailSvc
WaimSvc
start
Folder::
c:\windows\system32\X
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaeqSvc"=-
"WaesSvc"=-
"WaetSvc"=-
"WaexSvc"=-
"WaeySvc"=-
"WaiaSvc"=-
"WaibSvc"=-
"WaicSvc"=-
"WaidSvc"=-
"WaifSvc"=-
"WaigSvc"=-
"olema"=-
"WaiiSvc"=-
"WaijSvc"=-
"WaikSvc"=-
"WailSvc"=-
"WaimSvc"=-
"start"=-
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите все обновления для MS SQL Server
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Я не могу это сделать - Эксплорер не работает. Как это можно сделать по другому. (Работаю через Total Commander)
Получилось.
explorer.exe так и не запустился, попытка установить SP3 завершилась ошибкой.
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск C
[code]KillAll::
File::
c:\windows\system32\GQBazYkx.exe
c:\windows\system32\tmpccbcj0.exe
c:\windows\system32\FAXCFHVk.exe
c:\windows\system32\tcpwamllib.exe
Driver::
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Сделал, приложил
Все, перестанавливаю систему.
[quote="akalibr;823479"]Все, перестанавливаю систему.[/quote]Только сразу ставьте систему с интегрированным Service Pack 3
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]65[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\ati2evxx.exe - [B]Trojan-PSW.Win32.QQPass.aidr[/B] ( DrWEB: Trojan.DownLoader4.51341, BitDefender: Trojan.Generic.6623578, AVAST4: Win32:Crypt-KFP [Trj] )[*] c:\\windows\\system32\\tcpwammlib.exe - [B]Worm.MSIL.Agent.hm[/B] ( DrWEB: Win32.HLLW.Siggen.1720, BitDefender: Trojan.Generic.7344411, AVAST4: Win32:Hupigon-OZJ [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]