Printable View
Уважаемые после проверки компа AVZ комп перестал открывать программы, просит постоянно выбрать программы для того что бы открыть. Некоторые открывает а некоторые нет. Так же заблокирован диспетчер задач администратором хотя пользователь на компе администратор. И нету панели задач с пуском.
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Пофиксите с помощью Hijackthis строчки: [code]F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\vmwp472.exe"
O2 - BHO: (no name) - {09A78B33-C7F6-465D-9CCA-98D5B98B78CB} - C:\WINDOWS\system32\ddcBSLFu.dll
O2 - BHO: (no name) - {B864BE51-8859-4BCC-B872-3E6FC3EBAD91} - C:\WINDOWS\system32\byXoLbcy.dll (file missing)
O2 - BHO: Std plugin - {FFFFFFFF-08DF-483c-BD3A-99CBCF44E4DC} - hnew32.dll (file missing)
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\3.tmp"/r
O20 - Winlogon Notify: ddcBSLFu - C:\WINDOWS\SYSTEM32\ddcBSLFu.dll
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O21 - SSODL: pxgdslro - {DB4782FD-9A6E-4BE0-99CE-220B91044748} - (no file)
O21 - SSODL: gnowmebk - {505DB46A-E8BE-4C8C-8B5C-A87B20E92D7B} - (no file)[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('owE54', 4);
SetServiceStart('cjP07', 4);
SetServiceStart('Dls07', 4);
SetServiceStart('ksY63', 4);
SetServiceStart('Irx64', 4);
SetServiceStart('flS53', 4);
SetServiceStart('Dlt43', 4);
SetServiceStart('Bho30', 4);
QuarantineFile('C:\Program Files\Google\googletoolbar1user.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\AMADEUSINIT.DLL','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\CCCert4.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\MSIINSPECT.DLL','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\S1AVISTAPWCOMMS.DLL','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\SP2Patch.dll','');
QuarantineFile('C:\WINDOWS\system32\byXoLbcy.dll','');
QuarantineFile('C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\3.tmp/r','');
QuarantineFile('Explorer.exe C:\WINDOWS\system32\vmwp472.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\Program Files\Automatic Update\AutoUpdate.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\\stopinject.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\xeL86.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Vek54.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\vcI06.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Udk42.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Sbi76.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\riode32.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Owe54.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\ksY63.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Irx64.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Dlt43.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Dls07.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\cjP07.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Bho30.sys','');
QuarantineFile('C:\Documents and Settings\AZaitseva\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\hnew32.dll','');
QuarantineFile('C:\WINDOWS\system32\ddcBSLFu.dll','');
DelBHO('{09A78B33-C7F6-465D-9CCA-98D5B98B78CB}');
DelBHO('{FFFFFFFF-08DF-483c-BD3A-99CBCF44E4DC}');
DelBHO('{B864BE51-8859-4BCC-B872-3E6FC3EBAD91}');
DeleteFile('C:\WINDOWS\system32\ddcBSLFu.dll');
BC_DeleteFile('C:\WINDOWS\system32\ddcBSLFu.dll');
DeleteFile('C:\WINDOWS\system32\hnew32.dll');
BC_DeleteFile('C:\WINDOWS\system32\hnew32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\Documents and Settings\AZaitseva\ie_updates3r.exe');
BC_DeleteFile('C:\Documents and Settings\AZaitseva\ie_updates3r.exe');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Bho30.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\cjP07.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Dls07.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Dlt43.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Irx64.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\ksY63.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Owe54.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Sbi76.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Udk42.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\vcI06.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Vek54.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\xeL86.sys');
DeleteFile('C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\\stopinject.dll');
BC_DeleteFile('C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\\stopinject.dll');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
BC_DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
BC_DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\herjek.exe');
BC_DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('Explorer.exe C:\WINDOWS\system32\vmwp472.exe');
BC_DeleteFile('Explorer.exe C:\WINDOWS\system32\vmwp472.exe');
DeleteFile('C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\3.tmp/r');
BC_DeleteFile('C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\3.tmp/r');
DeleteFile('C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\3.tmp');
BC_DeleteFile('C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\3.tmp');
DeleteFile('C:\WINDOWS\system32\byXoLbcy.dll');
BC_DeleteFile('C:\WINDOWS\system32\byXoLbcy.dll');
BC_Deletesvc('xeL86');
BC_Deletesvc('Vek54');
BC_Deletesvc('vcI06');
BC_Deletesvc('Udk42');
BC_Deletesvc('tcpsr');
BC_Deletesvc('smtpdrv');
BC_Deletesvc('Sbi76');
BC_Deletesvc('riode32');
BC_Deletesvc('owE54');
BC_Deletesvc('ksY63');
BC_Deletesvc('Irx64');
BC_Deletesvc('flS53');
BC_Deletesvc('Dlt43');
BC_Deletesvc('Dls07');
BC_Deletesvc('cjP07');
BC_Deletesvc('Bho30');
BC_Deletesvc('Google Online Services');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
Executerepair(1);
Executerepair(5);
Executerepair(6);
Executerepair(8);
Executerepair(11);
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=23502[/url] , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
Вообщем сделал все по инструкции ничего не помогло, и пропала сеть и при попытке настроить ничего не получается. Потом в мое отсудствие ген. дир. (а это его комп) прошелся по компу антивирусом и все что было в карантине удалилось. Так что высылаю все логи заново.
P.S. Программы стали открыватся
Отключите антивирус и интернет!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: (no name) - {09A78B33-C7F6-465D-9CCA-98D5B98B78CB} - C:\WINDOWS\system32\ddcBSLFu.dll (file missing)
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\AZaitseva\cftmon.exe
O4 - HKCU\..\Run: [herjek] C:\WINDOWS\herjek.exe
O4 - HKUS\S-1-5-21-1085031214-1637723038-725345543-1004\..\Run: [autoload] C:\Documents and Settings\AZaitseva\cftmon.exe (User '?')
O4 - HKUS\S-1-5-21-1085031214-1637723038-725345543-1004\..\Run: [herjek] C:\WINDOWS\herjek.exe (User '?')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: ddcBSLFu - ddcBSLFu.dll (file missing)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Automatic Update\AutoUpdate.exe','');
QuarantineFile('C:\WINDOWS\system32\ddcBSLFu.dll','');
QuarantineFile('ddcBSLFu.dll','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
QuarantineFile('C:\Documents and Settings\AZaitseva\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\setup_526_1_.exe','');
DeleteFile('C:\DOCUME~1\AZAITS~1\LOCALS~1\Temp\setup_526_1_.exe');
DeleteFile('C:\Documents and Settings\AZaitseva\cftmon.exe');
DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('ddcBSLFu.dll');
DeleteFile('C:\WINDOWS\system32\ddcBSLFu.dll');
DelBHO('{09A78B33-C7F6-465D-9CCA-98D5B98B78CB}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Tpbn42 ');
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(8 );
ExecuteRepair(17 );
RebootWindows(true);
end.
[/CODE]
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Пришлите карантин,повторите логи.
Все сделал как Вы сказали, результата пока нет))) Во вложении Логи, архив с карантином загрузил. Вот его данные если нужно
080528_040129_virus_483d1f6979d6e.zip
MD5 9541aa709a01d25f66e48f7cda8ad6f8
[quote=Гриша;232856]]AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
[/quote]
Это делали? Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
clearhostsfile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('Tpbn42.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Tpbn42.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Tpbn42.sys');
BC_DeleteSvc('Tpbn42');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] После перезагрузки, повторите логи, начиная с п. 10 правил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]