Посмотрите еще плиз логи с этого компьютера, заранее благодарен.
Printable View
Посмотрите еще плиз логи с этого компьютера, заранее благодарен.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\analitik\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - *{95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Policies\Explorer\Run: [Inside] C:\WINDOWS\system32\gread32.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\mms18k18k.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
TerminateProcessByName('c:\docume~1\analitik\locals~1\temp\rarsfx5\25mmk.exe');
StopService('scnet');
QuarantineFile('G:\vgqbcn.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\mms18k18k.dll','');
QuarantineFile('C:\WINDOWS\system32\gread32.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\scnet.sys','');
QuarantineFile('C:\DOCUME~1\analitik\LOCALS~1\Temp\FEab0WYy.sys','');
QuarantineFile('\systemroot\system32\drivers\imnwxrpqsbpxuicq.sys','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
QuarantineFile('c:\docume~1\analitik\locals~1\temp\rarsfx5\25mmk.exe','');
DeleteFile('c:\docume~1\analitik\locals~1\temp\rarsfx5\25mmk.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('\systemroot\system32\drivers\imnwxrpqsbpxuicq.sys');
DeleteFile('C:\DOCUME~1\analitik\LOCALS~1\Temp\FEab0WYy.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\scnet.sys');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\gread32.exe');
DeleteFile('C:\WINDOWS\system32\mms18k18k.dll');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\vgqbcn.exe');
DeleteFileMask('c:\docume~1\analitik\locals~1\temp','*.*',true);
DeleteService('scnet');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('scnet');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
скрипт не выполняется, говорит: Ошибка ')' expected в позиции 29:54
[QUOTE=SlyAss;443913]скрипт не выполняется, говорит: Ошибка ')' expected в позиции 29:54[/QUOTE]Нашёл. Исправил. Извините :)
теперь компьютер при вводе пароля загружает параметры пользователя, и не загружается , уходит в перезагрузку((( О_о загрузился с третьей попытки, но опять заблокировн експлорер, сейчад логи на нем сделаю
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
логи не делать? а то уже сделались почти
[QUOTE=SlyAss;443965]логи не делать? а то уже сделались почти[/QUOTE]Если делаются - то давайте логи, глянем заодно что там ещё осталось.
сделал
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Media\sound.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETqdtpypkf.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETqdtpypkf.sys');
QuarantineFile('c:\windows\system32\drivers\SKYNETtrokwhcb.sys','');
DeleteFile('c:\windows\system32\drivers\SKYNETtrokwhcb.sys');
QuarantineFile('c:\windows\system32\SKYNETpgbhswmj.dll','');
DeleteFile('c:\windows\system32\SKYNETpgbhswmj.dll');
QuarantineFile('c:\windows\system32\SKYNETlarcxikb.dll','');
DeleteFile('c:\windows\system32\SKYNETlarcxikb.dll');
QuarantineFile('c:\windows\system32\SKYNETqacstmhq.dll','');
DeleteFile('c:\windows\system32\SKYNETqacstmhq.dll');
QuarantineFile('c:\windows\system32\SKYNETcmawdskg.dll','');
DeleteFile('c:\windows\system32\SKYNETcmawdskg.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Windows\Media\sound.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service SKYNETatvpxidt
gmer.exe -del service SKYNETocnogyph
gmer.exe -del file "c:\windows\system32\drivers\SKYNETtrokwhcb.sys"
gmer.exe -del file "c:\windows\system32\SKYNETpgbhswmj.dll"
gmer.exe -del file "c:\windows\system32\SKYNETnvpccyye.dat"
gmer.exe -del file "c:\windows\system32\SKYNETlarcxikb.dll"
gmer.exe -del file "c:\windows\system32\SKYNETnoknasuy.dat"
gmer.exe -del file "c:\windows\system32\drivers\SKYNETqdtpypkf.sys"
gmer.exe -del file "c:\windows\system32\SKYNETqacstmhq.dll"
gmer.exe -del file "c:\windows\system32\SKYNETanwkiijt.dat"
gmer.exe -del file "c:\windows\system32\SKYNETcmawdskg.dll"
gmer.exe -del file "c:\windows\system32\SKYNETethwgfll.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETatvpxidt"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETocnogyph"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETatvpxidt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETatvpxidt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETocnogyph"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + лог gmer
как размножается этот вирус? он еще на одном компе появился((
сделал
[QUOTE='SlyAss;444333']как размножается этот вирус? он еще на одном компе появился(([/QUOTE]Дырявую систему давно пора обновлять
Если рабочий антивирус AVG, то кто будет Symantec удалять?
C:\WINDOWS\ArgoUpdate.cmd - что это за файл?
Пофиксить в HiJack
[code] R3 - URLSearchHook: (no name) - *{95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
[/code]Перезагрузиться
Сделать новый лог HiJack
симантек что то не хотел удаляться, я и забил на него, argoupdate это обновление рабочей проги.
[url]ftp://ftp.symantec.com/public/english_us_canada/removal_tools/Norton_Removal_Tool.exe[/url]