Последствия блокировки

Printable View

10.07.2010, 08:56
Gorski

Последствия блокировки

После очередной разблокировки WINDOWS следующие проявления:
1. При загрузке сообщения - Windows не удалось найти 'C:\Windows\system32\upqasoj.exe'. Проверьте что имя введено правильно, и повторите попытку.
И "C:\Windows\daemon.dll error!"
2. на рабочем столе не отображается ни один старый ярлык и не удаётся поместить новый.
Проверил с помощью CureIt (удалено несколько вирусов).
Логи согласно правилам прилагаю.
10.07.2010, 09:12
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]F3 - REG:win.ini: run=C:\WINDOWS\system32\upqasoj.exe[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\upqasoj.exe','');
QuarantineFile('C:\Documents and Settings\Слава\Application Data\drm\drm.exe','');
DeleteFile('C:\WINDOWS\system32\upqasoj.exe');
DelAutorunByFileName('C:\WINDOWS\system32\upqasoj.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

Повторите лог [B]virusinfo_syscheck.zip[/B], отпишитесь о состоянии.
10.07.2010, 09:31
Gorski

Рекомендации выполнил. Карантин выслал. Сечас сделаю лог virusinfo_syscheck.zip
10.07.2010, 09:46
Gorski

Все симптомы остались за исключением сообщения Windows не удалось найти 'C:\Windows\system32\upqasoj.exe' Новый лог прилагаю
10.07.2010, 09:57
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
ExecuteRepair(5);
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

Вам знаком этот файл? - [B]C:\Documents and Settings\Слава\Application Data\drm\drm.exe[/B]
10.07.2010, 10:22
Gorski

Скрипт выполнил. Симптомы не изменились.
C:\Documents and Settings\Слава\Application Data\drm\drm.exe не знаю что это за файл.
Периодически IE выдаёт сообщение об ошибке, при закрытии.
И ещё что означает -
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O24 - Desktop Component 0: (no name) - [url]http://lego.static.yandex.net/2.0/common/block/b-head-logo/b-head-logo.png[/url]
10.07.2010, 10:39
olejah

Будем копать -

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\nwprovau.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

Посмотрим что там за файл в Винсоке.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Вообще АВЗ распознаёт этот файл как безопасный, если Вам не будет сложно, выполните процедуру, описанную в первом сообщении, этой темы - [URL="http://virusinfo.info/showthread.php?t=3519"]http://virusinfo.info/showthread.php?t=3519[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O24 - Desktop Component 0: (no name) - http://lego.static.yandex.net/2.0/common/block/b-head-logo/b-head-logo.png[/CODE]
10.07.2010, 11:19
Gorski

quarantine2.zip оправил. Рекомендации выполнил. Жду результатов

[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]

результаты сбора неопознанных и подозрительных файлов:
--------------------------------------------------------------------------------

Архив 100710_104906_virusinfo_files_ДОМАШНИЙ_4c3817e21a9 3e.zip, загружен 10.07.2010 11:10:22, размер 9231577 байт
Всего файлов: 25 (исполняемых 25), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 16
В очереди на добавление в базу безопасных:
высокий приоритет: 8
обычный приоритет: 1
10.07.2010, 11:24
olejah

Карантина пока нет, давайте попробуем так -

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR], если найдёте эту строчку -

[CODE]O24 - Desktop Component 0: (no name) - http://lego.static.yandex.net/2.0/common/block/b-head-logo/b-head-logo.png[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Слава\Application Data\drm\drm.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(5);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

Полегчало?
10.07.2010, 11:58
Gorski

После перезагрузки на рабочем столе следующее

Восстановление Active Desktop
Произошла непредвиденная ошибка Windows. В качестве предосторожности был отключен рабочий стол Active Desktop. Для восстановления Active Desktop выполните следующие действия:

Перестал работать обозреватель, или же вы перезагрузили компьютер, не завершив работу Windows? В этом случае нажмите

Заменяли ли вы фоновый рисунок рабочего стола веб-страницей? Если да, то:
1. Щелкните правой кнопкой мыши на рабочем столе и выберите команду Свойства.
2. На вкладке Рабочий стол выберите нужный фоновый рисунок.

Добавляли ли вы новые элементы на рабочий стол Active Desktop? Если да, то:
1. Щелкните правой кнопкой мыши на рабочем столе и выберите команду Свойства.
2. На вкладке Рабочий стол нажмите кнопку Настройка рабочего стола.
3. На вкладке Веб в списке Веб-страницы снимите флажок для того элемента, который был добавлен последним.

Хотите отключить рабочий стол Active Desktop? Если да, то:
1. Щелкните правой кнопкой мыши на рабочем столе и выберите команду Свойства.
2. На вкладке Рабочий стол нажмите кнопку Настройка рабочего стола.
3. На вкладке Веб в списке Веб-страницы снимите все флажки.

Старые симптомы не изменились

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Проблему с ярлыками решил. Что можно сделать с ошибками IE при закрытии
"Internet Explorer - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства."
10.07.2010, 12:08
olejah

В каких случаях обнаруживается ошибка? С рабочим столом я надеюсь всё нормально?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[B]Internet Explorer v7.00 (7.00.6000.17055)[/B] - обновите до восьмого, иначе зражения будут преследовать Вас, заодно решаться проблемы с ошибками.
10.07.2010, 12:12
Gorski

С рабочим столом всё норм. Ошибка с IE исключительно при закрытии браузера

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

IE уже обновил до 8 версии. Ошибки сохранились
12.07.2010, 13:43
Gorski

Ошибки IE проявляются не каждый раз. Буду наблюдать. Спасибо за помощь. Тему можно закрыть
13.07.2010, 13:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]