В Безопасный режим не пускает. Диспетчер задач отключён. Браузер открывается, но ни один сайт не загружается. Пролечил с помощью Kasperski Rescue disk, вирусов тьма. Все симптомы остались. Выполнил логи. Помогите реанимировать ПК.
Printable View
В Безопасный режим не пускает. Диспетчер задач отключён. Браузер открывается, но ни один сайт не загружается. Пролечил с помощью Kasperski Rescue disk, вирусов тьма. Все симптомы остались. Выполнил логи. Помогите реанимировать ПК.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: OLE (1/5) - - (no file)
F2 - REG:system.ini: Shell=explorer.exe,user32.exe
O2 - BHO: MS Media Module - {2B29CB8C-ECF8-5BFB-D529-6C36212D95FB} - (no file)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing)
O2 - BHO: MS Media Module - {C0938F72-3008-8D0D-E383-7E0FEF4FD3E7} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [synsql] C:\DOCUME~1\User\LOCALS~1\Temp\synsql.exe
O21 - SSODL: MyDllLoade - {0E3FEA20-1970-4E29-A6E5-B5A5B7A4A9AE} - c:\WINDOWS\SysVDK32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\gendel32.exe','');
QuarantineFile('c:\windows\system32\msasm.dll','');
QuarantineFile('c:\windows\system32\idsasvstart.dll','');
BC_ImportAll;
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(9);
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=85953[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Карантин отправил, новые логи прилагаю. Интернет всё ещё не доступен.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\B4OSKLVK\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
QuarantineFile('C:\WINDOWS\system32\Mcaerfe.exe','');
QuarantineFile('c:\windows\system32\iexplorer.exe','');
DeleteFile('c:\windows\system32\iexplorer.exe');
DeleteFile('c:\windows\system32\idsasvstart.dll');
DeleteFile('C:\WINDOWS\system32\regedit32.exe');
DeleteFile('C:\WINDOWS\system32\Mcaerfe.exe');
DeleteFile('C:\WINDOWS\system32\B4OSKLVK\J001.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (все 3).
Карантин выслал. Новые логи прилагаю. В интернет вышел. В безопасный режим не пускает.
Не знаю почему но карантин не закачался!?
Выполните скрипт в AVZ:
[code]
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
end;
end;
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RemoteRegistry', 4);
ExecuteRepair(10);
end.[/code]
Компьютер перезагрузится.
Проверьте безопасный режим.
В логах больше ничего плохого.
Супер! Безопасный режим работает. Только ещё вопрос нарисовался. Установил последнюю версию NOD32. При каждой загрузке системы выдаёт сообщение примерно следующего содержания "Модуль сканирования файлов, исполняемых при запуске системы файл c:\windows\system32\dmserver.dll модифицированный Win32/Agent.RNT троянская программа Ошибка при удаление - действие недоступно для этого типа объекта". Что это может быть?
Скорее всего, ложное срабатывание, но все может быть.
Давайте на всякий случай проверим его и еще один файлик заодно.
Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
QuarantineFile('c:\windows\system32\dmserver.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Почитав о подобной проблеме с файлом dmserver.dll, тупо заменил его на исправный. Теперь антивирус молчит (естественно). Скрипт всё равно выполнил. Карантин выслал. Каков будет вердикт?
dmserver.dll в карантине безвредный. В отношении tcpz-x86d.sys реакция антивирусов отрицательная. Рекомендую удалить утилиту TCP-Z. Если таковой у вас не установлено, напишем скрипт.
Утилиты TCP-Z не установлено. Заранее благодарен за скрипт. И что это за зверь?
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
BC_DeleteSvc('TCPZ');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи для контроля.
Рекомендуется установить SP3 и последующие обновления.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\idsasvstart.dll - [B]Net-Worm.Win32.Kolab.kiv[/B] ( DrWEB: Trojan.Siggen2.522, BitDefender: DeepScan:Generic.Malware.WX!.428550C7, NOD32: Win32/TrojanDownloader.Agent.QEK trojan, AVAST4: Win32:Alureon-NP [Trj] )[/LIST][/LIST]