Здравствуйте, уважаемые!
Только Вы можете помочь в лечении компа.
Восстановление системы отключено, прогнал cure it! в безопасном режиме, потом АВЗ. вот логи...
Printable View
Здравствуйте, уважаемые!
Только Вы можете помочь в лечении компа.
Восстановление системы отключено, прогнал cure it! в безопасном режиме, потом АВЗ. вот логи...
Выполнять в обычном режиме!
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\DRIVERS\HBKernel32.sys[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('SYSTEM.EXE','');
DeleteService('eth8023');
QuarantineFile('C:\WINDOWS\system32\drivers\eth8023.sys','');
DeleteService('c551839');
QuarantineFile('C:\WINDOWS\system32\c551839.sys','');
DeleteService('8b52f47');
DeleteService('5102a80');
DeleteService('4c70249');
DeleteService('4901228');
QuarantineFile('C:\WINDOWS\system32\8b52f47.sys','');
QuarantineFile('C:\WINDOWS\system32\5102a80.sys','');
QuarantineFile('C:\WINDOWS\system32\4c70249.sys','');
QuarantineFile('C:\WINDOWS\system32\4901228.sys','');
DeleteService('HBKernel32');
QuarantineFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys','');
QuarantineFile('C:\WINDOWS\system32\HBZG.dll','');
QuarantineFile('C:\WINDOWS\system32\HBSO2.dll','');
QuarantineFile('C:\WINDOWS\system32\HBQQSG.dll','');
QuarantineFile('C:\WINDOWS\system32\HBQQFFO.dll','');
QuarantineFile('C:\WINDOWS\system32\HBmhly.dll','');
QuarantineFile('C:\WINDOWS\system32\HBBO.dll','');
DeleteFile('C:\WINDOWS\system32\HBBO.dll');
DeleteFile('C:\WINDOWS\system32\HBmhly.dll');
DeleteFile('C:\WINDOWS\system32\HBQQFFO.dll');
DeleteFile('C:\WINDOWS\system32\HBQQSG.dll');
DeleteFile('C:\WINDOWS\system32\HBSO2.dll');
DeleteFile('C:\WINDOWS\system32\HBZG.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys');
DeleteFile('C:\WINDOWS\system32\4901228.sys');
DeleteFile('C:\WINDOWS\system32\4c70249.sys');
DeleteFile('C:\WINDOWS\system32\5102a80.sys');
DeleteFile('C:\WINDOWS\system32\8b52f47.sys');
DeleteFile('C:\WINDOWS\system32\c551839.sys');
DeleteFile('C:\WINDOWS\system32\drivers\eth8023.sys');
DeleteFile('HBASKTAO.dll');
DeleteFile('HBCHD.dll');
DeleteFile('HBCHIBI.dll');
DeleteFile('HBCONQUER.dll');
DeleteFile('HBDNF.dll');
DeleteFile('HBFHZL.dll');
DeleteFile('HBFS2.dll');
DeleteFile('HBFY.dll');
DeleteFile('HBGC.dll');
DeleteFile('HBHM.dll');
DeleteFile('HBHX2.dll');
DeleteFile('HBJTLQ.dll');
DeleteFile('HBJXSJ.dll');
DeleteFile('HBLYFX.dll');
DeleteFile('HBMIR2.dll');
DeleteFile('HBMXD.dll');
DeleteFile('HBPICKCHINA.dll');
DeleteFile('HBPPBL.dll');
DeleteFile('HBQJSJ.dll');
DeleteFile('HBQQHX.dll');
DeleteFile('HBQQXX.dll');
DeleteFile('HBR2.dll');
DeleteFile('HBRXJH.dll');
DeleteFile('HBSHQ.dll');
DeleteFile('HBSOUL.dll');
DeleteFile('HBSQ.dll');
DeleteFile('HBTJ.dll');
DeleteFile('HBTL.dll');
DeleteFile('HBTW2.dll');
DeleteFile('HBTZ.dll');
DeleteFile('HBW2I.dll');
DeleteFile('HBWARLORDS.dll');
DeleteFile('HBWD.dll');
DeleteFile('HBWLQX.dll');
DeleteFile('HBWOOOL.dll');
DeleteFile('HBWORLD2.dll');
DeleteFile('HBWOW.dll');
DeleteFile('HBWULIN2.dll');
DeleteFile('HBXMJ.dll');
DeleteFile('HBXY3.dll');
DeleteFile('HBXY2.dll');
DeleteFile('HBYY.dll');
DeleteFile('HBZERO.dll');
DeleteFile('HBZHUXIAN.dll');
DeleteFile('HBZT.dll');
DeleteFile('SYSTEM.EXE');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
карантин закачал. новые логи прикрепляю.
Выполнять в обычном режиме!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: HBmhly.dll,HB1000Y.dll,HBSO2.dll,HBKDXY.dll,HBBO.dll,HBCT.dll,HBQQSG.dll,HBQQFFO.dll,HBZG.dll,[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('HB1000Y.dll');
DeleteFile('HBBO.dll');
DeleteFile('HBCT.dll');
DeleteFile('HBKDXY.dll');
DeleteFile('HBQQFFO.dll');
DeleteFile('HBQQSG.dll');
DeleteFile('HBSO2.dll');
DeleteFile('HBZG.dll');
DeleteFile('HBmhly.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи из обычного режима...
У меня появилась вторая проблема!
Комп, который мы лечили, находится вне сети и поэтому все логи я отправлял со своей машины, переносил флэшкой. вчера прочитал ветку "отче наш" и в частности "Отключить автостарт съёмных дисков, флешек, CD". сегодня с утра перезагрузился и началось (может конечно это совпадение): TuneUp Utilities пишет, что приложение повреждено, повторная перезагрузка ничем не помогла, тотал командер потерял все панели и руссификацию, прога your uninstaller потеряла ini файлы, авира антивир - не работает апдейт и еще несколько программ перестало запускаться.:O
Подскажите, мне надо создать отдельную ветку в форуме или можно в этой же теме продолжать общение. Я в панике, не знаю что делать.
да, все изменения сделанные вчера в реестре я убрал, бесполезно.
это логи к теме про первый комп.
В логах чисто, автозапуск не связан ни каким образом с тем что вы описали...
Так мне можно прислать логи со второго компа или новую ветку в форуме создавать?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[QUOTE=Гриша;302700]В логах чисто, автозапуск не связан ни каким образом с тем что вы описали...[/QUOTE]
спасибо большое за комп, с которого началась эта тема.
Я тоже так думаю, что автозапуск никоим образом не связан.
[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]
пожалуйста, ответьте мне!!!
Новую тему создайте...
спасибо за помощь