Затруднённая работа ПК

Printable View

Показывать 40 сообщений этой темы на одной странице

08.10.2009, 01:29
BeHappy***

Затруднённая работа ПК

Проблем, вызванных вирусом много. Как только я подключаюсь к интернету (оптоволокно) мой антивирус сразу же находит вирус (C:\Documents and Settings\Эдо\Local Settings\Temp\BN12.tmp), при его удалении и дальнейшей перезагрузке компьютера он появляется в том же месте с таким же названием, кроме последних цифр (они всегда разные). До проверки ПК Вашими программами я не могу зайти на Ваш сайт. Также не открывались, примерно, 70% страницы, где указаны названия любых антивирусов. У меня перестали работать некоторые программы (сколько программ не работает, точно не знаю), половина установленных программ не могу удалить через "Установку и удаление программ", а другая половина просто оттуда пропала. Долго грузится рабочий стол при включении ПК.
08.10.2009, 02:27
Bratez

Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [restorer32_a] C:\WINDOWS\system32\restorer32_a.exe
O4 - HKCU\..\Run: [restorer32_a] C:\Documents and Settings\Эдо\restorer32_a.exe
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\akdwmoev.SYS','');
QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe','');
QuarantineFile('C:\Documents and Settings\Эдо\restorer32_a.exe','');
DeleteFile('C:\Documents and Settings\Эдо\restorer32_a.exe');
DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFileMask('C:\Documents and Settings\Эдо\Local Settings\Temp', '*.*',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=56638[/url]).
Сделайте новые логи + дополнительно [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
09.10.2009, 09:56
BeHappy***

После того как профиксил и выполнил скрипт стало немного лучше, даже смог зайти на Ваш сайт, но после непродолжительной работы ПК снова не открывается страница, рабочий стол опять долго думает при загрузке и на диске С появился какой-то файл index2 (прямо на диске а не в папке)
09.10.2009, 10:49
Bratez

1. Карантин прикреплять в тему нельзя! Загрузите его по вышеуказанной ссылке.

2. Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hrbgnob.dll','');
DeleteFile('C:\WINDOWS\system32\hrbgnob.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\otgxfh\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\otgxfh');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\oxjskdec\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\oxjskdec');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\wnlkzk\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\wnlkzk');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\otgxfh\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\otgxfh');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\oxjskdec\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\oxjskdec');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\wnlkzk\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\wnlkzk');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

3. Пришлите новый карантин согласно приложению 3 правил.

4. Сделайте новый лог gmer.
09.10.2009, 16:28
BeHappy***

Скажите пожалуйста может ли ПК при проверке программой GMER перезагружаться автоматически?? (2 раза подряд такое было)? И обязательно ли дожидаться оконцовки сканирования до конца, если лог остается неизменным (на мой взляд)?
09.10.2009, 16:34
Kuzz

Тогда давайте сделанные логи (раз Gmer не отрабатывает до конца)
10.10.2009, 13:04
BeHappy***

Вложений: 4

1.Карантик я выложил по указанной сслыке ([url]http://virusinfo.info/upload_virus.php?tid=56638[/url] "Файл сохранён как: 091010_130029_virus_4ad04d2d74bbf.zip").
2.Постоянно в директории C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ появляется вирус. И в процессах опять появился процесс mslsrv32.exe (до этого его удаляли, но щас он опять вылез). При загруке рабочего стола вылез вирус C:\WINDOWS\system\smsg.exe (Win32:Inject-SW [Trj])
10.10.2009, 13:22
Kuzz

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]var hfile:string;
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\mslsrv32.exe');
QuarantineFile('C:\WINDOWS\system32\hrbgnob.dll','');
QuarantineFile('C:\WINDOWS\system32\16.scr','');
QuarantineFile('c:\WINDOWS\system32\xlive.dll','');
QuarantineFile('C:\WINDOWS\system32\muty.exe','');
QuarantineFile('C:\Documents and Settings\Эдо\Application Data\Microsoft\muty.exe','');
QuarantineFile('C:\Documents and Settings\Эдо\Application Data\Microsoft\fooryt.exe','');
DeleteService('sysdrv32');
QuarantineFile('sysdrv32.sys','');
DeleteService('dtscsi');
QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\vidstub.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\abywdent.SYS','');
QuarantineFile('C:\WINDOWS\system32\winsrv.dll','');
QuarantineFile('c:\windows\tppaldr.exe','');
QuarantineFile('c:\windows\mslsrv32.exe','');
QuarantineFile('c:\windows\explorer.exe','');
DeleteFile('c:\windows\mslsrv32.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\abywdent.SYS');
DeleteFile('C:\WINDOWS\system32\hrbgnob.dll');
DeleteFile('sysdrv32.sys');
DeleteFile('C:\Documents and Settings\Эдо\Application Data\Microsoft\fooryt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','puhou');
DeleteFile('C:\Documents and Settings\Эдо\Application Data\Microsoft\muty.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pihoujuh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\muty.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pihoujuh');
DeleteFile('C:\WINDOWS\system32\16.scr');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ckfmgza');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ckfmgza\Parameters');
hfile:=RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\ckfmgza\Parameters','ServiceDll');
BC_DeleteSvcReg('ckfmgza');
if hfile<>'' then
begin
FSResetSecurity(hfile);
QuarantineFile(hfile,'');
DeleteFile(hfile);
end;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]

2.Повторить логи
10.10.2009, 13:53
BeHappy***

Gmer лог тоже нужен?
10.10.2009, 13:54
Белый Сокол

[QUOTE]Gmer лог тоже нужен?[/QUOTE]
Делайте, не помешает.
10.10.2009, 19:17
BeHappy***

В процессах опять появился процесс mslsrv32.exe (до этого его удаляли, но щас он опять вылез). И кстати очень странно но при проверко программой Gmer у меня бывает перезагружается компьютер (это не в первый раз)
10.10.2009, 23:30
BeHappy***

Процесс mslsrv32.exe загружает процесс почти до 100% и это происходит быстро 9его значание меняется от 0 до 100 несколько раз за секунду)

[size="1"][color="#666686"][B][I]Добавлено через 1 час 39 минут[/I][/B][/color][/size]

1. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ появляется вирус Win32:Trojan-gen
2. C:\WINDOWS\System32\x (Win32:Confi [Wrm])

Антивирус (Avast Home 4.8) пишет что не может обработать вирусы 9не могу не переместить в хранилище и удалить не могу), либо же они удаляются, но как только перезагружаю ПК они снова появляются через некоторое время. Помогите пожалуйста, не очень хочется форматировать диск, очень много информации которой не смогу найти...
11.10.2009, 00:08
thyrex

Заплатки после SP3 все стоят?

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{E0E899AB-F487-11D5-8D29-0050BA6940E3}');
QuarantineFile('C:\Documents and Settings\Эдо\Application Data\Desktopicon\eBayShortcuts.exe','');
DeleteFile('C:\Documents and Settings\Эдо\Application Data\Desktopicon\eBayShortcuts.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи (gmer не нужен)
11.10.2009, 01:51
BeHappy***

Так у меня SP2 стоит просто один файл чуть изменен, просто чтобы игры шли... я могу обратно всё вернуть на SP2

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Подскажите что надо сделать (установить) лишь бы комп нормально работал и процент заражения был меньше...
11.10.2009, 02:34
BeHappy***

Я вернул обратно SP2
11.10.2009, 03:23
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\mslsrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[size="1"][color="#666686"][B][I]Добавлено через 59 секунд[/I][/B][/color][/size]

[QUOTE=BeHappy***;483952]Я вернул обратно SP2[/QUOTE]
Ставьте SP3 и последующие обновления, иначе будете у нас частым гостем.
11.10.2009, 12:11
BeHappy***

При загрузке винды в диспетчере задач во вкладке процессы не загруэаются пользователи, пытаюсь подключится к интеренету комьютер сразу виснет
11.10.2009, 13:26
Bratez

[QUOTE='BeHappy***;484106']При загрузке винды в диспетчере задач во вкладке процессы не загруэаются пользователи[/QUOTE]
В смысле - не отображаются имена пользователей, кому принадлежит процесс? Проверьте, запущена ли Служба терминалов?

Логи можно сделать без подключения к интернету, только браузер запустите.
11.10.2009, 14:48
BeHappy***

SP2 я менял на SP3 путём фикса реестра:
1. Пуск --> выполнить --> regedit;
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows;
3. Меняем значение "CSDVersion" с "0x00000200" на "0x00000300";
11.10.2009, 16:30
V_Bond

что с проблемами ?

Показывать 40 сообщений этой темы на одной странице