отключено ли автоматическое восстановление системы мне не известно, т.к. не пускает.
Printable View
отключено ли автоматическое восстановление системы мне не известно, т.к. не пускает.
1. Скачайте эту программку (пока не запускайте):
[url]http://www.tksinc.us/downloads/WinsockXPFix.exe[/url]
2. Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: C:\WINDOWS\System32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\System32\hdxjd4g.dll (file missing)
O2 - BHO: C:\WINDOWS\System32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\System32\djki397g.dll (file missing)
O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\ddcCRHAr.dll
O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll (file missing)
O2 - BHO: (no name) - {F83FE620-D7CB-4DE3-85D2-BC48130A572E} - C:\WINDOWS\System32\hgGwWPIY.dll (file missing)
O2 - BHO: Aero skin - {FFFFFFFF-B432-46fc-9143-B82B832B1B14} - sincim32.dll (file missing)
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\wind32.exe
O4 - HKLM\..\Run: [advap32] C:\WINDOWS\TEMP\47F8.tmp/r
O4 - HKLM\..\Run: [SystemDrive] C:\WINDOWS\System32\maxpaynow1.exe
O4 - HKCU\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\Первый\LOCALS~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe
O4 - HKCU\..\Run: [libor] C:\WINDOWS\libor.exe
O4 - HKUS\S-1-5-18\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe (User 'SYSTEM')
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O20 - Winlogon Notify: ddcCRHAr - C:\WINDOWS\SYSTEM32\ddcCRHAr.dll
O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\System32\djki397g.dll (file missing)
O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\System32\hdxjd4g.dll (file missing)
[/code]
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('sincim32.dll','');
QuarantineFile('C:\WINDOWS\System32\hgGwWPIY.dll','');
QuarantineFile('c:\autoex.dll','');
QuarantineFile('C:\Program Files\syscmd\mscmp32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\libor.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\TEMP\47F8.tmp','');
QuarantineFile('C:\WINDOWS\System32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\hdxjd4g.dll','');
QuarantineFile('C:\WINDOWS\System32\djki397g.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Din84.sys','');
QuarantineFile('C:\WINDOWS\System32\wind32.exe','');
QuarantineFile('C:\WINDOWS\System32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\System32\maxpaynow1.exe','');
QuarantineFile('C:\WINDOWS\System32\fiod.dll','');
QuarantineFile('C:\WINDOWS\System32\dllgh8jkd1q7.exe','');
QuarantineFile('C:\WINDOWS\System32\dllgh8jkd1q6.exe','');
QuarantineFile('C:\WINDOWS\system32\ddcCRHAr.dll','');
QuarantineFile('C:\DOCUME~1\Первый\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\Documents and Settings\Первый\ie_updates3r.exe','');
DeleteFile('C:\Documents and Settings\Первый\ie_updates3r.exe');
DeleteFile('C:\DOCUME~1\Первый\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\WINDOWS\system32\ddcCRHAr.dll');
DeleteFile('C:\WINDOWS\System32\dllgh8jkd1q6.exe');
DeleteFile('C:\WINDOWS\System32\dllgh8jkd1q7.exe');
DeleteFile('C:\WINDOWS\System32\fiod.dll');
DeleteFile('C:\WINDOWS\System32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\System32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\System32\wind32.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Din84.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\System32\djki397g.dll');
DeleteFile('C:\WINDOWS\System32\hdxjd4g.dll');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\wowfx.dll');
DeleteFile('C:\WINDOWS\TEMP\47F8.tmp');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\libor.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\Program Files\syscmd\mscmp32.dll');
DeleteFile('c:\autoex.dll');
DeleteFile('C:\WINDOWS\System32\hgGwWPIY.dll');
DeleteFile('sincim32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Iso56.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Slt44.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Tmvh53.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Tpd31.sys');
DeleteFile('C:\WINDOWS\system32\dsob563.exe');
DeleteFile('C:\WINDOWS\system32\dsob564.exe');
DeleteFile('C:\WINDOWS\system32\dsob580.exe');
DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\WINDOWS\Temp\47F8.tmp');
DeleteFile('C:\WINDOWS\Temp\istst.exe');
DeleteFile('G:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(14);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
4. Если интернет откажется работать, запустите скачанную программу и нажмите Fix. Имейте ввиду, что настройки сетевых подключений она сбросит, их надо будет потом ввести заново. По окончании работы программы будет перезагрузка.
5. Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=22421[/url]).
6. Сделайте новые логи.
когда фиксил, комп сказал что ковырятся в реестре может только системный администратор (хотя я и зашел как сис.адм.), но вроде пофикселось. После выполнения скрипта комп стал УЖАСНО тормозить, загружался минут десять. Панели управления нет, поэтому сделать подключение к сети не получается (я сам ошибочно сделал отключить, когда мог туда зайти, теперь не могу).
Сейчас делаю новые логи.
карантин загрузил. логи сделал
Мне даже страшно все перечислять,что было в карантине,зверинец еще тот:)
Многое растет отсюда:
[CODE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\syscmd\mscmp32.dll (file missing)
O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\ddcCRHAr.dll (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O20 - Winlogon Notify: ddcCRHAr - ddcCRHAr.dll (file missing)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{CE86878F-D099-4FFC-A4DC-E51D192063B1}');
DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\ddcCRHAr.dll');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('ddcCRHAr.dll');
DeleteFile('wowfx.dll');
DeleteFile('C:\Program Files\syscmd\mscmp32.dll');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8ZYLY3OR\zloy[1].exe');
DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\C16N09YV\access[1].htm');
DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\C16N09YV\access[2].htm');
DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\CLEJ8TYJ\access[2].htm');
DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\CLEJ8TYJ\access[1].htm');
DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\CLEJ8TYJ\access[3].htm');
DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\VA9E782K\access[1].htm');
DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\VA9E782K\access[2].htm');
DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\VA9E782K\access[3].htm');
DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\VA9E782K\access[4].htm');
DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\VA9E782K\access[5].htm');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(11 );
RebootWindows(true);
end.[/CODE]
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Очистите временные папки,кеш браузера и повторите логи.
[quote=vve;223362]После выполнения скрипта комп стал УЖАСНО тормозить, загружался минут десять.[/quote]
От этого тоже должна помочь волшебная утилита WinSocksFix :P.
Если еще ее не запускали - запустите.
при выполнении стандартных скриптов комп перезагружался, пришлось отключить соединение с сетью
В логах врагов не видать,какие-то проблемы остались?
[quote=Гриша;223443]В логах врагов не видать,какие-то проблемы остались?[/quote]
проблем вроде нет, странным только показалось что при выполнении тестов комп перезагружался, аутпоста при этом нет.
Такое возможно,вот это:
[CODE]
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/CODE]
Нужно срочно исправлять,иначе будете частым гостем у нас
Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".