Не запускается диспетчер задач и интернет эксплорер

Printable View

09.12.2009, 18:06
Tritan

Не запускается диспетчер задач и интернет эксплорер

AVZ несколько раз вываливался с ошибками, то index out of bounds, то disk not found.
Посмотрите логи, пожалуйста.
09.12.2009, 18:27
Ingener

1) Отключите восстановление системы.
2) Пофиксите в HijackThis:
[CODE]O20 - Winlogon Notify: winsys2freg - c:\Settings\winsys2f.dll (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)[/CODE]
3) Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('c:\ex.cab','');
QuarantineFile('c:\eied_s7.cab','');
QuarantineFile('c:\Settings\winsys2f.dll','');
QuarantineFile('C:\WINDOWS\servicepackfiles\mmwnd.exe','');
DeleteService('pe386');
DeleteService('lzx32');
QuarantineFile('C:\WINDOWS\System32\lzx32.sys','');
DeleteService('aspi113210');
QuarantineFile('C:\WINDOWS\System32\aspi256401.exe','');
DeleteFile('c:\ex.cab');
DeleteFile('c:\eied_s7.cab');
DeleteFile('C:\WINDOWS\System32\aspi256401.exe');
DeleteFile('C:\WINDOWS\System32\lzx32.sys');
DeleteFile('C:\WINDOWS\servicepackfiles\mmwnd.exe');
DeleteFile('c:\Settings\winsys2f.dll');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xp_sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg','DLLName');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{64311111-1111-1121-1111-111191113457}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-622221193458}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193458}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193457}');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
4) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
5) Сделайте новые логи + такой лог: [url]http://virusinfo.info/showthread.php?t=40118[/url]
09.12.2009, 19:09
Tritan

Сделано. Карантин выслан.
09.12.2009, 20:23
Ingener

1) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteService('qqybjnx');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\qqybjnx\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\qqybjnx');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\qqybjnx\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\qqybjnx');
QuarantineFile('C:\WINDOWS\System32\nvacr.dll','');
DeleteFile('C:\WINDOWS\System32\nvacr.dll');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
3) Сделайте новый лог GMER.
10.12.2009, 13:56
Tritan

Сделал.
Логи AVZ больше делать не нужно?
Вот новый лог Gmer
10.12.2009, 14:24
Ingener

[QUOTE]Логи AVZ больше делать не нужно?[/QUOTE]
Не нужно.
[QUOTE]Вот новый лог Gmer[/QUOTE]
Вы выложили старый лог GMER (см. пост #3) - сделайте новый.
10.12.2009, 14:53
Tritan

Заработался. Виноват.
10.12.2009, 15:05
Ingener

1) Сохраните текст ниже как cleanup.bat в ту же папку, где находится tblt0bnf.exe (GMER) и запустите этот батник:
[CODE]tblt0bnf.exe -del service qqybjnx
tblt0bnf.exe -del file "C:\WINDOWS\System32\nvacr.dll"
tblt0bnf.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qqybjnx"
tblt0bnf.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qqybjnx"
tblt0bnf.exe -reboot[/CODE]
Компьютер перезагрузится.
2) Сделайте новый лог GMER.
10.12.2009, 15:26
Tritan

Сделал.
10.12.2009, 15:30
Ingener

В логе чисто.
Для контроля сделайте ещё такой лог: [url]http://virusinfo.info/showthread.php?t=53070[/url]
10.12.2009, 20:15
Tritan

Сделал вроде.
10.12.2009, 20:27
snifer67

Удалите в [url=http://virusinfo.info/showpost.php?p=493584&postcount=2]mbam [/url]
[code]
Заражено ключей реестра:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenU) -> No action taken.

Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.

Заражено папок:
C:\Program Files\NewDotNet (Adware.NewDotNet) -> No action taken.
C:\Program Files\Save (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU (Adware.WhenU) -> No action taken.

Заражено файлов:
C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU\Learn More About WhenU Save.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU\Learn More About WhenU SaveNow.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU\WhenU.com Website.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU\Uninstall Instructions.lnk (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Ingener\Главное меню\Программы\WhenU\Customer Support.lnk (Adware.WhenU) -> No action taken.
C:\WINDOWS\system32\dlh9jkd1q8.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\dlh9jkd1q1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vx.tll (Malware.Trace) -> No action taken.

[/code]
Сделаете новый лог mbam
10.12.2009, 21:35
Tritan

Сделал. Говорит, что чисто.
10.12.2009, 21:44
Ingener

В логе чисто.
Проблема решена?

Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: [url]http://virusinfo.info/showthread.php?t=30339[/url]
14.12.2009, 23:26
Tritan

Да, решена.
Спасибо.
15.12.2009, 23:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]