при загрузке выскакивает окно, что при загрузке не удалось подгрузить smss.exe
обычными методами удалять не получается
Printable View
при загрузке выскакивает окно, что при загрузке не удалось подгрузить smss.exe
обычными методами удалять не получается
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]F2 - REG:system.ini: Shell=explorer.exe c:\Recycler\smss.exe
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\RECYCLER\S-1-5-21-6776556558-8718796786-538465867-9065\hdav.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('c:\Recycler\smss.exe','');
DeleteFile('c:\Recycler\smss.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6776556558-8718796786-538465867-9065\hdav.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(8);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Прокси Вы прописывали? - [CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128
[/CODE]
[B]- Обновите базы АВЗ[/B]
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Гмер[/URL]
да, у нас локалка. и в настройках именно этот прокси указан.
спасибо, что так быстро. пошла выполнять
лог Гмер выполнить не удалось вчера. после экспресс-проверки появлялось сообщение - система модифицирована руткитами, и предложение начать новую полную проверку. начиналась проверка и все повисало. пробовала три раза. сегодня попробую поотключать все службы, и еще раз попробовать сделать лог, но мне кажется, что это мало поможет
пока могу прислать только карантин, как приду на работу. надо?
Конечно надо -
[QUOTE='Olejah;743241']Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.[/QUOTE]
[QUOTE=Olejah;743577]Конечно надо -[/QUOTE]
я просто думала что без гмера он вам шибко нужен.
снесла авиру, получилось сделать лог гмер. и высылаю карантин.
апд.только пароль забыла к архиву сделать)), каюсь
- Сохраните текст ниже как [B]1.bat[/B] в ту же папку, где находится [B]le1vpjn7.exe[/B](GMER) и запустите этот батник(1.bat):
[CODE]le1vpjn7.exe -del service bopdyt
le1vpjn7.exe -del service flosmn
le1vpjn7.exe -del service kkbcai
le1vpjn7.exe -del file "C:\WINDOWS\system32\srvawxtb.dll"
le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bopdyt"
le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\flosmn"
le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kkbcai"
le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bopdyt"
le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\flosmn"
le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kkbcai"
le1vpjn7.exe -reboot[/CODE]
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
запускаю батник. три сроки на черном экране и вываливается в синий экран
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
2 часа пыталась сделать лог гмер. не выходит. виснет и все тут. не получается меня с ним. на экспресс проверке руткитов не нашел.
логи авз + картинка при загрузке
теперь наверное попробую лог гмер только в пн сделать. спасибо за помощь
специально ходила на работу - не могу переделать лог гмер. виснет на полном сканировании. беспричинно. что делать?
Обращаю Ваше внимание - Файл quarantine.zip Вами не был прислан [B]правильно[/B], вместо него в форму загрузки попал какой-то мусор в виде баз АВЗ. Будьте впредь внимательны, такого повториться не должно.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\recycler\smss.exe','');
DeleteFile('c:\recycler\smss.exe');
QuarantineFile('C:\WINDOWS\system32\XP-6F81531A.EXE','');
QuarantineFile('C:\WINDOWS\system32\kavo.exe','');
DeleteFile('C:\WINDOWS\system32\kavo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kava');
DeleteFile('C:\WINDOWS\system32\XP-6F81531A.EXE');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите логи
простите, даже не знаю как я так...
новые логи
Что с проблемой? Плохого не вижу.
окно выскакивает про smss.exe при загрузке. работает лучше. можно его убрать?
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
вот
и при загрузке по прежнему вот это сообщение про точку входа
[url]http://virusinfo.info/attachment.php?attachmentid=289090&d=1291990229[/url]
ну пожалуйста, не бросайте нас. допомогите уж до конца
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::
File::
Driver::
kkbcai
flosmn
bopdyt
NetSvc::
kkbcai
flosmn
bopdyt
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8665:TCP"=-
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
лог.
вскакивают те же окошки + новое добавилось :(