проблема

Printable View

10.01.2008, 17:45
korj1985

Вложений: 3

проблема

было 2 проблемы: soundmix.exe и открытие разделов в новом окне.
с первой разобрался - удалил его и восстановил ассоциации с .exe(иб было испорчено чем-то).
теперь осталось открытие разделов дисков в новом окне...кстати скрытые файлы тоже не показывает.
10.01.2008, 17:47
korj1985

заранее спасибо))
10.01.2008, 17:51
Bratez

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\soundmix.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\soundmix.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
10.01.2008, 17:53
korj1985

сейчас...
10.01.2008, 18:12
korj1985

список карантина
10.01.2008, 18:20
Bratez

Карантин из сообщения уберите и загрузите тут:
[url]http://virusinfo.info/upload_virus.php?tid=16217[/url]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

AVZ - Сервис - Поиск файлов на диске, поищите везде [b]d.com[/b] и удалите.
Образчик не забудьте прислать нам [b]по правилам[/b].
10.01.2008, 18:24
Макcим

Не надо, я сделал.
10.01.2008, 18:31
korj1985

Вложений: 3

новые логи...
извините, пропустил правила про virus.zip
10.01.2008, 18:34
korj1985

d.com удалил(были на c и d)
кстати в "моём компьютере" добавился раздел Другие: Web folders.
никогда такого не видел
10.01.2008, 18:36
V_Bond

в логах чисто ...
какие-то проблемы остались ?
что из этого списка не используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользовател

[size="1"][color="#666686"][B][I]Добавлено через 54 секунды[/I][/B][/color][/size]

[QUOTE=korj1985;170194]d.com удалил(были на c и d)
кстати в "моём компьютере" добавился раздел Другие: Web folders.
никогда такого не видел[/QUOTE]
это после скрипта восстановления ... ничего страшного ...
10.01.2008, 19:14
korj1985

а так вроде всё))
всё не используется из списка
я так понял, эти службы отрубить лучше?

[size="1"][color="#666686"][B][I]Добавлено через 36 минут[/I][/B][/color][/size]

отрубил...
11.01.2008, 13:41
Bratez

Если хотите убрать Web Foldersы из проводника, сделайте текстовый файл с расширением [b].reg[/b] и таким содержанием:
[code]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum]
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001[/code]
и запустите его двойным щелчком. На вопрос о добавлении в реестр ответьте утвердительно.
18.01.2008, 18:10
korj1985

Вложений: 3

добрый день!
не стал создавать новую тему, ибо проблемы всплыли те же...
soundmix.exe и не показывает скрытые файлы...
не знаю, где я опять их подхватил:mad:
заранее спасибо за помощь(про кнопочки "спасибо" знаю:xmas:)
18.01.2008, 18:15
Макcим

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.
18.01.2008, 18:38
korj1985

Вложений: 3

[quote=Maxim;174539]AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.[/quote]

пометил пофиксил...
вот новые логи
18.01.2008, 18:43
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\soundmix.exe');
BC_DeleteFile('c:\windows\system32\soundmix.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.
18.01.2008, 19:06
korj1985

Вложений: 3

[quote=Maxim;174557][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\soundmix.exe');
BC_DeleteFile('c:\windows\system32\soundmix.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.[/quote]
всё выполнил...
(после выполнения скрипта полетели ассоциации с exe файлами. но проблема устранилась вот этим: AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы")
18.01.2008, 20:04
Макcим

Давайте ещё раз логи... Не понятно прибил его AVZ на совсем или нет.
18.01.2008, 20:57
korj1985

Вложений: 3

"свежие" логи ))
18.01.2008, 21:00
V_Bond

ехе файлы запускаются ? если нет ,выполните скрипт ....
[code]
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
18.01.2008, 21:03
korj1985

запускаются... но есть проблемка в Магенте - при нажатии на уведомление о новом письме открывается media player classic(klite codec pack)...
а в остальном вроде без проблем
19.01.2008, 06:05
Макcим

В логах всё нормально.
19.01.2008, 16:30
korj1985

что-то опять скрытые файлы не показывает...
может быть переустановить систему?
19.01.2008, 17:41
korj1985

Вложений: 3

тут возникли проблемы на 2 компьютере - процессы съедают много памяти и процессорного времени...
логи прилагаю..
19.01.2008, 17:56
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vhosts.exe','');
QuarantineFile('C:\WINDOWS\system32\dllcache\zipexr.dll','');
QuarantineFile('C:\WINDOWS\system32\soundmix.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\soundmix.exe');
DeleteFile('C:\WINDOWS\system32\vhosts.exe');
DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('msupdate');
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16217[/url]).

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Администратор\Application Data\Mra\Update\mrasearch.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)
[/code]

Вот это если не сами прописывали, тоже пофиксите:
[code]
O1 - Hosts: 61.129.115.198 www.xldd.com
O1 - Hosts: 61.129.115.198 www.ojiang.com
O1 - Hosts: 61.129.115.198 www.shuixian.net
O1 - Hosts: 61.129.115.198 www.xlarea.com
[/code]
19.01.2008, 18:37
korj1985

[quote=Bratez;174990]Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vhosts.exe','');
QuarantineFile('C:\WINDOWS\system32\dllcache\zipexr.dll','');
QuarantineFile('C:\WINDOWS\system32\soundmix.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\soundmix.exe');
DeleteFile('C:\WINDOWS\system32\vhosts.exe');
DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('msupdate');
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [URL]http://virusinfo.info/upload_virus.php?tid=16217[/URL]).

[SIZE=1][COLOR=#666686][B][I]Добавлено через 3 минуты[/I][/B][/COLOR][/SIZE]

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Администратор\Application Data\Mra\Update\mrasearch.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)
[/code]

Вот это если не сами прописывали, тоже пофиксите:
[code]
O1 - Hosts: 61.129.115.198 www.xldd.com
O1 - Hosts: 61.129.115.198 www.ojiang.com
O1 - Hosts: 61.129.115.198 www.shuixian.net
O1 - Hosts: 61.129.115.198 www.xlarea.com
[/code][/quote]
скрипт выполнил...
пофиксил в hijackthis...
карантин отослал...
20.01.2008, 02:47
Bratez

Выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('J:\RECYCLER\autorun.exe');
DeleteFile('J:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи.
20.01.2008, 20:59
korj1985

[QUOTE=Bratez;175144]Выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('J:\RECYCLER\autorun.exe');
DeleteFile('J:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи.[/QUOTE]

всё-таки надо было создать отдельную тему...
это для какого компьютера? для последнего лога?
20.01.2008, 21:01
V_Bond

скрипт относится к последним логам из поста 24
22.02.2009, 03:24
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]43[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.bua[/B] (DrWEB: Win32.HLLW.Autoruner)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.nnd[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo0.dll - [B]Worm.Win32.AutoRun.bqi[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.nl[/B] (DrWEB: Trojan.Proxy.2486)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.bua[/B] (DrWEB: Win32.HLLW.Autoruner)[*] j:\\autorun.inf - [B]Worm.Win32.AutoRun.dwb[/B] (DrWEB: Win32.HLLW.Autoruner.2356)[/LIST][/LIST]