Printable View
- скачайте [URL="http://www.microsoft.com/downloads/info.aspx?na=22&p=2&SrcDisplayLang=ru&SrcCategoryId=&SrcFamilyId=&u=%2fdownloads%2fdetails.aspx%3fFamilyID%3d2fcde6ce-b5fb-4488-8c50-fe22559d164e%26DisplayLang%3dru"]SP3[/URL], сделайте свежие логи, покажите их тут, напишем скрипт, отключитесь от сети, выполните скрипт, установите SP3, подключитесь к сети, посетите веб-узел [URL="http://windowsupdate.microsoft.com/"]Windows Update[/URL]... а там посмотрим ;)
SP3 скачал, выкладываю новые логи...
- восстановление системы всё ещё должно быть отключено, флешки не втыкать, от сети отключиться(выдернуть провод), выполнить в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\system.exe');
TerminateProcessByName('c:\documents and settings\казяфка\650418.exe');
BC_DeleteFile('c:\documents and settings\казяфка\650418.exe');
BC_DeleteFile('c:\windows\system32\system.exe');
BC_DeleteFile('C:\DOCUME~1\6BA2~1\LOCALS~1\Temp\00053.sys');
BC_DeleteFile('C:\DOCUME~1\6BA2~1\APPLIC~1\FRAGJU~1\copy cast program.exe');
BC_DeleteFile('c:\docume~1\6ba2~1\applic~1\fragju~1\Barb Dvd One.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise323.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]...после перезагрузки, если признаков зловреда не будет, установить SP3, перегрузить компьютер, посетить веб-узел Windows Update.
P.S. будьте готовы к тому, что возможно понадобится повторная активация Windows, возможные варианты и ситуации обсуждались неоднократно, последний раз читайте на [url]http://virusinfo.info/showthread.php?t=40884[/url]
огромное спасибо, что уделили мне время и попытались помочь... проблема не пропала, хотя сделал все так, как вы сказали... дата теперь не меняется, но сообщение об ошибке остаётся, если данное сообщение закрыть, то при запуске любого приложения - машина "зависает", поетому попробую работать с открытой ошибкой...
еще раз спасибо
логи делаем.
сделал..
что странно после очередной проверки AVZ- файлы(вирусы), которые программа якобы удалила(либо перенсла в карантин) вновь появляются...
Обновления на windows все стоят?
Ну или хотя бы обновления безопасности...
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
в AVZ
[code]
begin
QuarantineFile('c:\windows\system32\userinit.exe','');
end.[/code]
Пришлите карантин, как писалось ранее
дело в том, что я использую (как наверно и многие) нелицензионную копию ПО, поетому при попытке обновить систему, апдейтер ссылается на невозможность выполнения данного действия из за того, что ПО "пиратское" xD
То есть автоматическое обновление у вас заблокированно?.. Я встречал много пираток, но автоматическое работало нормально. Просто выбираете все обновления безопасности и всё...
нет, не заблокировано, в настройках стоит: ежедневно в nn:nn часов, но судя по всему оно не делается (по неизвестной причине)
Измените в настройках на "Уведомлять, но не загружать и не устанавливать..... " и подождите чуток.
изменил, жду.. (а что должно появится?)
В трее должно пояться ... :)
Карантин где?
Выполнен карантин файла c:\windows\system32\userinit.exe
хм, но карантин лист пустой.. чет я ваще уже ничего не понимаю =(
фиксим
[CODE]F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)[/CODE]
скрипт
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\WINDOWS\system32\Drivers\pssdk40.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pssdklbf.sys','');
TerminateProcessByName('c:\windows\system32\system.exe');
TerminateProcessByName('c:\windows\system\msrsys32.exe');
QuarantineFile('c:\windows\system32\system.exe','');
QuarantineFile('c:\windows\system\msrsys32.exe','');
DeleteFile('c:\windows\system\msrsys32.exe');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('C:\DOCUME~1\6BA2~1\LOCALS~1\Temp\86176.sys');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise323.exe');
DeleteService('sysdrv32');
DeleteService('msrsys');
BC_ImportDeletedList;
BC_DeleteSvc('sysdrv32');
BC_DeleteSvc('msrsys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
шлём карантин.
Проверямся AVPTool
логи делаем.
Что с обновлениями?
насчет 1 пункта пожайлуста поподробнее...
с обновлениями пока глухо, в трее ничего не появилось
p.s. да, и если вам не будет трудно, киньте пожайлуста ссылку на avptool
заранее прошу прощения за свою "тупость" =)
1. [URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
2. AVPTool [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/URL]
хух, проблема вроде пропала, вот последние логи, сделанные после полной проверки AVPTool.
P.S. Громаднейшее спасибо Alex Plutoff, light59 за проделанную работу, и время уделённое моей проблеме =)
в AVZ
[CODE]begin
DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
BC_ImportDeletedList;
BC_DeleteSvc('oreans32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Обязательно установите AdobeReader 9.0 или деинсталлируйте старый.
Больше ничего плохого.
p.s. Спасибо не говорят, спасибо нажимают.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]71[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\cast dale way math\acid dent.exe - [B]Trojan.Win32.Obfuscated.abpg[/B]( DrWEB: Trojan.Swizzor.based, BitDefender: Trojan.Swizzor.4 )[*] c:\documents and settings\казяфка\361376.exe - [B]Trojan.Win32.Buzus.aoiv[/B]( DrWEB: BackDoor.IRC.Itan, BitDefender: IRC-Worm.Generic.5864 )[*] c:\docume~1\6ba2~1\locals~1\temp\17375.sys - [B]Rootkit.Win32.Agent.hji[/B]( DrWEB: Trojan.NtRootKit.2692, BitDefender: Trojan.Rootkit.Agent.NGA )[*] c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\ise323.exe - [B]Worm.Win32.AutoRun.voa[/B]( DrWEB: BackDoor.IRC.Sdbot.4595, BitDefender: Worm.Generic.39025 )[*] c:\windows\system\msrsys32.exe - [B]Backdoor.Win32.IRCBot.hyl[/B]( BitDefender: Trojan.Generic.1539888 )[*] c:\windows\system32\fmrlib.dll - [B]Trojan-Ransom.Win32.Hexzone.adg[/B]( BitDefender: Trojan.Generic.1207064 )[*] c:\windows\system32\inelib.dll - [B]Trojan-Ransom.Win32.Hexzone.xq[/B]( DrWEB: Trojan.Blackmailer.184, BitDefender: Trojan.Generic.1010146 )[*] c:\windows\system32\pllib.dll - [B]Trojan-Ransom.Win32.Hexzone.cs[/B]( DrWEB: Trojan.Blackmailer.151 )[*] c:\windows\system32\system.exe - [B]Trojan.Win32.Agent2.enb[/B]( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )[*] c:\windows\system32\ydzlib.dll - [B]Trojan-Ransom.Win32.Hexzone.gen[/B]( DrWEB: Trojan.Blackmailer.648, BitDefender: Trojan.Generic.1201009 )[/LIST][/LIST]