Прошу проверить логи

Привет!

Опять обращаюсь к вам за помощью. Комп заболел какой-то гадостью. Я его долго мучал Нортоном и другими приблудами, т.к. AVZ в обычном режиме он включать не давал. В защищенном все шло гладко и удалялось куча гадостей. Но в обычном режиме ниче не получалось. Комп после старта сильно тормозил. Не загружал все, что надо Потом можно было работать миг с 15 и опять тоже самое. Потом я услышал про Look2Me. Залез к вам и действовал согласно инструкциям о Dr.Web...
[url]http://virusinfo.info/showthread.php?t=4481[/url]
Нортон удалось удалить с большим скрипом, но получилось. Теперь, вроде как, все в норме, но я не уверен...потому прошу глянуть логи....
И еще...после загрузки вылазит "ошибка Winlogon"...вот здесь говорится, что можете помочь 8)
[url]http://virusinfo.info/showpost.php?p=63406&postcount=16[/url]
а когда пытаешься открыть Инет, вылазит вот такая хрень (см. картинку в прицепе)

Заранее очень благодарен!!!

Пришлите

C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\system32\bum588.exe
C:\WINDOWS\inet20004\winlogon.exe
c:\stub_113_4_0_4_0.exe
С:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
C:\WINDOWS\system32\aaoofiid.dll
C:\WINDOWS\system32\en86l1ls1.dll
C:\WINDOWS\system32\mzdtctm.dll

Поищите

hpprintx.dll
msupdate32.dll
ssldr32.dll
wancp.dll

Пофиксите

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://searchbar.findthewebsiteyouneed.com[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://searchbar.findthewebsiteyouneed.com[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://searchbar.findthewebsiteyouneed.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - [url]http://software-dl.real.com/152f78658dcc8278fe05/netzip/RdxIE601.cab[/url]
O20 - Winlogon Notify: hpprintx - hpprintx.dll (file missing)
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\en86l1ls1.dll (file missing)
O20 - Winlogon Notify: ssldr - ssldr32.dll (file missing)
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
O20 - Winlogon Notify: wancp - wancp.dll (file missing)
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - C:\WINDOWS\system32\aaoofiid.dll (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

В файле Hosts (C:\WINDOWS\system32\drivers\etc\hosts) все записи кроме 127.0.0.1 localhost удалите

Так-же пришлите, если найдёте -
C:\Program Files\MSN Messenger\MsnMsgr.Exe"
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\VCClient\VCClient.exe
C:\Program Files\Common Files\VCClient\VCMain.exe
C:\WINDOWS\system32\aaoofiid.dll
hpprintx.dll
en86l1ls1.dll

Высылаю, что нашел. Ошибки при загрузке и открытии Инет-а пропали. Также кидаю логи. Хотел кинуть еще один архив, но 1-е -> он не влазит, а 2-е -> говорит, что поврежден

На будущее: подозрительные файлы следует присылать на virus[at]virusinfo.info

А вот это не нашли? C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
C:\WINDOWS\inet20004\winlogon.exe

Пофиксите

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

[QUOTE=ALEX(XX)]
А вот это не нашли? C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
[/QUOTE]
вот это находит, но в карантин не добавляет...

[QUOTE=ALEX(XX)]
C:\WINDOWS\inet20004\winlogon.exe
[/QUOTE]
Этого нет совсем...

Попробуйте осуществить поиск в безопасном режиме загрузки системы.

[QUOTE=jareger]вот это находит, но в карантин не добавляет...[/QUOTE]

Хорошая зверюга, очень желательно всёже вытащить для пополнения "коллекции", потому как весьма редкая.

Качаете свежий AVZ, включаете AVZGuard, потом идёте в "Сервис-Менеджер автозапуска" находите ur32art.dll выбираете удалить запись и перезагружаетесь не выключая Guard, после перезагрузки пробуете скопировать и прислать нам, ну заодно и стереть.

[QUOTE=RiC]Хорошая зверюга, очень желательно всёже вытащить для пополнения "коллекции", потому как весьма редкая.
[/QUOTE]
окб постараюсь! 8)

[QUOTE=RiC]
включаете AVZGuard
[/QUOTE]
вот тут не понял...это сам AVZ или как?

все, понял....не посмотрел просто, а сразу спрашивать полез...8))

В Менеджере автозапуска я не нашел эту заразу (см. прицеп)

Хотел еще спросить...компом в данный момент мона пользоваться? Насколько велика вероятность заражения другого компа, если на уже зараженном сделать какой либо документ и перекинуть на "здоровый"? А в Инет вылазить мона? Хуже не станет?

кстати о прицепах...у меня там уже больше половины допустимого места занято...это как-то можно подчистить?

Сделайте новые логи, а то непонятно что осталось, а чего уже нет, возможно доктор до неё уже "добрался" раньше Вас.

C:\WINDOWS\inet20004\winlogon.exe - Это и есть искомый зверь ... - он на картинке виден ...

[QUOTE=Зайцев Олег]C:\WINDOWS\inet20004\winlogon.exe - Это и есть искомый зверь ... - он на картинке виден ...[/QUOTE]


дык и че делать-то?? 8)) логи высылать?

C:\WINDOWS\inet20004\winlogon.exe стереть в Safe моде если остался (вместе с каталогом [b]inet20004[/b])копия нам тоже не помешает и повторите логи, непонятно что есть, чего уже нет.

Кинул вам на почту архив со всей папкой....глянте, там эта гадость или нет, а то удалю и вам не достанется...

Удаляйте C:\WINDOWS\[b]inet20004[/b] уже известная гадость (из той же "компании" inet2001, inet2002, inet2003, inet2005 в каталоге Windows) , и сделайте свежие логи, я уже запутался честно говоря что дальше советовать, без логов не видно, что есть, что нет, что удалилось, что осталось, а что "может быть" удалилось - кофейная гуща.
Может там уже лечить нечего, сейчас в таком случае напоследок общую зачистку подскажу, Cookes и прочий мусор пособирать, да закончим эту тягомотину.

вроде получилось удалить....вот логи

Последний "выживший"
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Второй "заход" -
AVZ -> AVZ GUARD
Запустить "доверенное приложение" (там-же где и Guard)
Выбираете и запускаете HijackThis
В Hijack - Пофиксить
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Закрыть Hijack, закрыть AVZ неотключая Guard
Перезагрузиться.
Попробовать скопировать и стереть -
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Если получиться dll-ку нам.

Если нет ещё вариант -
AVZ - файл->Отложенное удаление
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Перезагрузка
Hijack -
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Ещё перезагрузка

Лог Hijak на проверку.

Вроде удалилось...глянте лог плз...dll-ку отослал...только чет меня в логе вот это смущает...
O20 - Winlogon Notify: ur32artreg - C:\WINDOWS\
или мои подозрения беспочвенны??

[QUOTE=jareger]Вроде удалилось...глянте лог плз...dll-ку отослал...только чет меня в логе вот это смущает...
O20 - Winlogon Notify: ur32artreg - C:\WINDOWS\
или мои подозрения беспочвенны??[/QUOTE]
Глюк, поставьте галку на против этой строки и нажмите Fix.

Если не поможет создайте reg файл следующего содержимого, и добавьте его в реестр.
[code]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ur32artreg]
[/code]
в принципе толку он него уже никакого.

Если есть желание можете напоследок пройтись [url=http://download.ewido.net/ewido_micro.exe]Ewido Microscaner`ом[/url] нового врятли чего найдёт, но реестр от мусора почистит и левые кукисы пособирает (скачать придётся около 5ти мб).