Сабж.
Выхожу сюда с телефона.
Файлы смог выложить только на файлообменник:
virusinfo_syscure: slil.ru/27959049
virusinfo_syscheck: slil.ru/27959051
hijackthis.log:
slil.ru/27959037
Printable View
Сабж.
Выхожу сюда с телефона.
Файлы смог выложить только на файлообменник:
virusinfo_syscure: slil.ru/27959049
virusinfo_syscheck: slil.ru/27959051
hijackthis.log:
slil.ru/27959037
Отключите восстановление системы. Установите SP3 и вышедшие после него обновления (может потребоваться активация). Скачайте и пролечитесь этой утилитой [url]http://support.kaspersky.ru/faq/?qid=180593202[/url]. Если не сможете зайти на страницу - вот прямая ссылка на скачку [url]http://support.kaspersky.ru/downloads/utils/klwk.zip[/url]
После этого повторите логи
Я прошу прощения - а можно прямую ссылку на SP3 и обновления? - скачаю на телефон и перелью в ноут. Ведь он у меня и на майкрософт.ком не переходит, и файл по ссылке выше тоже телефоном пришлось качать...
SP3 со всеми заплатками вы через телефон врядли скачаете, объем больше 400 мегабайт. Скачайте и установите для начала вот эти патчи (они для русскоязычной винды, если у вас англоязычная отпишите)
[url]http://download.microsoft.com/download/8/c/f/8cf1ce00-e6e1-40cd-80c4-8412d312b3c7/WindowsXP-KB957097-x86-RUS.exe[/url]
[url]http://download.microsoft.com/download/5/2/6/526af6ed-32cc-4924-b631-faee10a0e6a9/WindowsXP-KB958644-x86-RUS.exe[/url]
[url]http://download.microsoft.com/download/5/2/6/526af6ed-32cc-4924-b631-faee10a0e6a9/WindowsXP-KB958644-x86-RUS.exe[/url],
затем распакуйте и запустите klwk. После лечения сделайте новые логи
Эх, всё-ж скачал я на телефон сервис пак, (Ваше сообщение уже после прочитал) благодаря 3G от МТС и услуге ночной анлим, которую пришлось подключить. Установил. Сверху поставил файлы, выложеные Вами выше. Запустил klwk.
После этого логи такие: syscure: slil.ru/27959531
syscheck:
slil.ru/27959532
hijack:
slil.ru/27959533
Поведение компа не изменилось, куда не лез - туда не лезет.
Я всё так же с телефона тут.
[url]http://virusinfo.info/showthread.php?t=50169[/url] - утилитой из этой темы пролечитесь.
Павел, благодарю, пролечился - теперь здесь с компа.
Логи ниже.
Пациент чист?
[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-8775793035-0289252100-987907885-1671\mwau.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\system.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8775793035-0289252100-987907885-1671\mwau.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]гмер[/URL].
Повторите логи AVZ.
Благодарю за помощь.
Скрипт выполнил, карантин прислал, логи гмер и авз ниже.
Что дальше?
Удивительно как Вас зверье любит. В каждом логе новое, да еще с довеском.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\system.exe','');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\system.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Еще разок надо той же утилитой пройтись.
Потом повторить лог Гмера и логи AVZ
Вот так.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\TDSSpaxt.sys','');
DeleteFile('c:\windows\system32\drivers\TDSSpaxt.sys');
QuarantineFile('c:\windows\system32\TDSSofxh.dll','');
DeleteFile('c:\windows\system32\TDSSofxh.dll');
QuarantineFile('c:\windows\system32\TDSSnrsr.dll','');
DeleteFile('c:\windows\system32\TDSSnrsr.dll');
QuarantineFile('c:\windows\system32\TDSSriqp.dll','');
DeleteFile('c:\windows\system32\TDSSriqp.dll');
QuarantineFile('c:\windows\system32\TDSScfum.dll','');
DeleteFile('c:\windows\system32\TDSScfum.dll');
QuarantineFile('c:\windows\system32\TDSSfxwp.dll','');
DeleteFile('c:\windows\system32\TDSSfxwp.dll');
QuarantineFile('c:\windows\system32\TDSSsbhc.dll','');
DeleteFile('c:\windows\system32\TDSSsbhc.dll');
QuarantineFile('C:\WINDOWS\system32\kvpmxe.dll','');
DeleteFile('C:\WINDOWS\system32\kvpmxe.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится eygg6dxm.exe (gmer)
[CODE]eygg6dxm.exe -del service TDSSserv.sys
eygg6dxm.exe -del service uvojkopjc
eygg6dxm.exe -del file "c:\windows\system32\drivers\TDSSpaxt.sys"
eygg6dxm.exe -del file "c:\windows\system32\TDSSofxh.dll"
eygg6dxm.exe -del file "c:\windows\system32\TDSSosvd.dat"
eygg6dxm.exe -del file "c:\windows\system32\TDSSnrsr.dll"
eygg6dxm.exe -del file "c:\windows\system32\TDSSriqp.dll"
eygg6dxm.exe -del file "c:\windows\system32\TDSScfum.dll"
eygg6dxm.exe -del file "c:\windows\system32\TDSSfxwp.dll"
eygg6dxm.exe -del file "c:\windows\system32\TDSSnmxh.log"
eygg6dxm.exe -del file "c:\windows\system32\TDSSsbhc.dll"
eygg6dxm.exe -del file "c:\windows\system32\TDSSrhym.log"
eygg6dxm.exe -del file "c:\windows\system32\TDSStkdv.log"
eygg6dxm.exe -del file "C:\WINDOWS\system32\kvpmxe.dll"
eygg6dxm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys"
eygg6dxm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uvojkopjc"
eygg6dxm.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys"
eygg6dxm.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys"
eygg6dxm.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys"
eygg6dxm.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\uvojkopjc"
eygg6dxm.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\TDSSserv.sys"
eygg6dxm.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\uvojkopjc"
eygg6dxm.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Всё сделал. Карантин прислал. Вот лог гмер:
В логе чисто. Что с проблемой?
Да с проблемой уже давно всё хорошо, ещё после первого лечения TDSSremover`ом стало выпускать и сюда, и на другие, ранее запрещённые сайты.
Сейчас - тоже всё хорошо!
Благодарю всех, как раз к моему Дню Рожденья (сегодня) ноут стал чистым!:beer::party:
, как раз к моему Дню Рожденья (сегодня) - С Праздником!!! Ежели сюда заглянете.
Здоровья, счастья и поменьше вирусов.
Заглянул :-)
Очень приятно!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]