Добрый день. Прошу помощи. Все сделал-выкладываю логи. Жду ответа. Спасибо
Printable View
Добрый день. Прошу помощи. Все сделал-выкладываю логи. Жду ответа. Спасибо
Версия AVZ старая - раз. Карантин сюда закачивать не надо - два.
Исправляйтесь. После этого будем лечить.
просьба без обид.
1. Обязательно скачайте свежую версию AVZ - 4.27 и обновите ее базы.
2. Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\printer.exe
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\pdbcopy.exe,
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINXP\system32\vtr.dll (file missing)
O4 - HKLM\..\Run: [System] C:\WINXP\system32\kernelwind32.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\sergey\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINXP\csrss.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - AppInit_DLLs: C:\WINXP\system32\sulimo.dat
[/code]
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\winxp\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('c:\winxp\system32\svchost.exe:exe.exe','');
QuarantineFile('C:\WINXP\system32\sulimo.dat','');
QuarantineFile('C:\WINXP\system32\kernelwind32.exe','');
QuarantineFile('C:\WINXP\system32\WinAvXX.exe','');
QuarantineFile('C:\WINXP\csrss.exe','');
QuarantineFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\DOCUME~1\sergey\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINXP\System32\drivers\protect.sys','');
QuarantineFile('C:\WINXP\system32\DefLib.sys','');
QuarantineFile('c:\winxp\system32\printer.exe','');
DeleteFile('c:\winxp\system32\printer.exe');
DeleteFile('C:\WINXP\system32\DefLib.sys');
DeleteFile('C:\WINXP\System32\drivers\protect.sys');
DeleteFile('C:\DOCUME~1\sergey\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINXP\csrss.exe');
DeleteFile('C:\WINXP\system32\WinAvXX.exe');
DeleteFile('C:\WINXP\system32\kernelwind32.exe');
DeleteFile('C:\WINXP\system32\sulimo.dat');
DeleteFile('c:\winxp\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('c:\winxp\system32\svchost.exe:exe.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
4. Пришлите карантин согласно приложению 3 правил.
5. Сделайте новые логи.
Вирус не дает доступ к инету для обновлений... (((
Выполните первые 4 пункта кроме обновления.
Перед выполнением п.5 выполните еще такой скрипт:
[code]begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
RebootWindows(true);
end.[/code]
После перезагрузки обновление должно пойти.
В крайнем случае делайте логи без обновления.
Обновился, запускает в Диспетчер задач... Осталась назойливая табличка... Делаю логи..
Логи... Спасибо. Жду ответа
выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINXP\system32\svchost.exe:ext.exe:$DATA','');
DeleteFile('C:\WINXP\system32\svchost.exe:ext.exe:$DATA');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Загрузить карантин.
Базы AVZ нужно обновить.
После скрипта от PavelA, внимательно, ничего не пропуская, пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\printer.exe
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com
O4 - HKLM\..\Run: [rtasks] C:\Program Files\AVSystemCare\rtasks.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
[/code]
и выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\winxp\system32\printer.exe');
DeleteFile('C:\Program Files\AVSystemCare\rtasks.exe');
DeleteFile('C:\Program Files\Common Files\AVSystemCare\bm.exe');
DeleteFile('C:\WINXP\system32\WinAvXX.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Обновите таки базы AVZ и сделайте новые логи.
@Bratez Виноват. Поторопился и пропустил. ;)
Жду ответа. Спасибо
карантин загрузить по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=13538[/url]
Опять эта дрянь на месте!
1. Отключите восстановление системы! (Sorry, раньше не досмотрел).
2. Пофиксите в HijackThis:
[code]F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe[/code]
(Вы случайно не забываете давить кнопочку [b]Fix Checked[/b]?)
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINXP\system32\WinAvXX.exe');
DeleteFile('C:\WINXP\system32\printer.exe');
BC_ImportDeletedList;
BC_DeleteSvc('FCI');
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
При завершении выскакивает табличка "Скрипт выполнен без ошибок" или нет?
Логи повторите, начиная с п.10 правил.
Да, пишет "Скрипт выполнен без ошибок". Востановление не отключил... ((( Сорри.
Восстановление отключил. Выкладываю логи. Спасибо... Карантин загрузил
Что-то зараза никак не удаляется. :(
В логе hijack не видно в ключах, зато видно в процессах, а в логах AVZ сидит.
Для зачистки удаленного:
[CODE]
begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/CODE]
А что за странный порядок действий?? По времени выполнения сначала у вас HijackThis, потом syscheck, потом syscure, хотя должно быть в точности наоборот. И содержимое лога HJT не соответствует таковому в логах AVZ.
Давайте еще раз: выполняем сообщение #13 - сначала фиксим, потом скрипт, между фиксом и скриптом перезагрузку не делать. После скрипта комп перезагрузится сам. Потом перечитываем и выполняем п.10-13 правил, именно в этом порядке. Действуйте.
Замучал, наверное, уже... ((
Логи. Спасибо. Карантин заливать?
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('c:\winxp\system32\printer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите лог AVZ (стандартный скрипт 3 ) ...
Теперь порядок. Можно закрыть дырки в системе и выписываться.
@V_Bond я этой строчки в последних логах не вижу. Наверное, надо очки одевать.