Очень тяжелый случай....

И еще раз Здравствуйте!
Со вторым компьютером все совсем запущено.....
Отчеты удалось сделать только в безопасном режиме.

восстановление системы в безопасном режиме не отключается: "Ошибка восстановления....... Перезагрузите компьютер и повторите попытку""
а в нормальном режиме система выдает ряд ошибок и уходит в перезагрузку.

1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('halifax1.dll','');
QuarantineFile('msime80.exe','');
QuarantineFile('md4hsh.dll','');
QuarantineFile('crypt32rt.dll','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe','');
QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
QuarantineFile('C:\WINDOWS\system32\bolenjx.exe','');
QuarantineFile('C:\WINDOWS\system32\bolenja.exe','');
QuarantineFile('C:\WINDOWS\system32\alt.exe.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\win32.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\desktop.exe','');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\pavdrv51.sys','');
QuarantineFile('C:\WINDOWS\system32\nvnatv.sys','');
QuarantineFile('D:\NTACCESS.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito78aa-3a47.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito6f2e-7533.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito3d56-794e.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx05.sys','');
QuarantineFile('C:\WINDOWS\system32\wsock3.dll','');
QuarantineFile('C:\WINDOWS\system32\win_p5.dll','');
QuarantineFile('C:\WINDOWS\system32\md4hsh.dll','');
QuarantineFile('C:\WINDOWS\system32\crypt32rt.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\crypt32rt.dll');
DeleteFile('C:\WINDOWS\system32\md4hsh.dll');
DeleteFile('C:\WINDOWS\system32\win_p5.dll');
DeleteFile('C:\WINDOWS\system32\wsock3.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\win32.exe');
DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
DeleteFile('C:\WINDOWS\system32\bolenja.exe');
DeleteFile('C:\WINDOWS\system32\bolenjx.exe');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('crypt32rt.dll');
DeleteFile('md4hsh.dll');
DeleteFile('msime80.exe');
DeleteFile('halifax1.dll');
DeleteFile('C:\autorun.inf');
DelBHO('{4F45C552-9688-4af2-AA57-15089900E144}');
DelBHO('{28C703D0-B4A9-4b2f-9123-CE8294761861}');
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(9);
ExecuteRepair(14);
ExecuteRepair(16);
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Проверку CureIt делали? (2 пункт привил)

ПРОБЛЕМА!!!!
Система висит на "Запуск Windows....."
и в безопасном и в нормальном режиме

[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]

...после выполнения скрипта

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

о, чудо - в безопасном режиме система все-таки прогрузилась!!!!

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

cureit делал - в быстром режиме он почистил несколько виров и троев, а в полном режиме подвис.... (кстати. его пришлось переименовать в Cureit.pif)
сейчас еще раз просканирую....

cureit.exe - это архив.
На здоровой машине скачиваете его, распаковываете и в распакованном виде записываете на диск. С диска запускаете _start.exe

CureIt прогнал.
машина очень долго грузится.
в нормальном режиме теперь работает без перезагрузки, но AVZ на скрипте леченя\карантина и сбора виснет почти сразу....
восстановление системы отключить не удается - функция заблокирована\перехвачена.
сейчас пробую выполнить скрипты в безопасном режиме...

Можно попробовать avz.exe переименовать в game.pif

1. первый скрипт прошел почти до конца, написал в конце "исследование системы..." и так и не закончился. пришлось снять задачу.
2. второй скрипт
в самом начале на проверке памяти виснет, обрабатывая system32\svchost.exe

:ohmy: ЧТО ДЕЛАТЬ?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

окно "Запуск Windows" и в нормальном режиме и в безопасном (перед прорисовкой значков выбора учетных записей) грузится\висит примерно 7 минут

можете сделать логи авз хотя бы в безопасном режиме ?

это как раз в безопасном режиме я и пытался сделать.....

Скачайте эту программу:
[url]http://www.tacktech.com/pub/winsockfix/WinsockFix.zip[/url]

Дождитесь полной загрузки системы в нормалном режиме, запустите скачанную программу и нажмите кнопку Fix. По окончании ее работы будет перезагрузка. Запуск системы должен нормализоваться. [b]Имейте ввиду, что программа сбрасывает настройки сетевых подключений[/b], поэтому запишите их заранее и потом введите на место.

Надеюсь, после этого появится возможность нормально сделать логи.

Спасибо за помощь - я уже подумывал о сносе данных с диска...

вчера до 5-ти часов ночи (г. Пермь - у нас + 2 часа от Москвы) просидел с чистками и попытками создания отчетов = все заканчивалось подвисанием на "выполняется исследование системы" (и занимало уйму времени).

после winsockfix работа нормализовалась и отчеты уже сгенерил в нормальном режиме. ...
:cool:

+

....а теперь svchost.exe забрасывает ошибками приложения: " инструкция по адресу .......память не может быть "written"

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - AppInit_DLLs: kus109.dat
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
O20 - Winlogon Notify: crypt32 - C:\WINDOWS\
O20 - Winlogon Notify: md4hsh - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('msfir80.exe','');
QuarantineFile('kus109.dat','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\desktop.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\system32\lrito78aa-3a47.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito6f2e-7533.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys','');
QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\MSCORE.DLL','');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\system32\xpdx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Djo16.sys');
DeleteFile('C:\WINDOWS\system32\lrito6f2e-7533.sys');
DeleteFile('C:\WINDOWS\system32\lrito78aa-3a47.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\Documents and Settings\LocalService\desktop.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\kus109.dat');
DeleteFile('C:\WINDOWS\system32\msfir80.exe');
BC_ImportALL;
BC_QrSvc('asc3550p');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('Djo16');
BC_DeleteSvc('lrito78aa-3a47');
BC_DeleteSvc('lrito6f2e-7533');
BC_DeleteSvc('xpdx');
ExecuteSysClean;
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

карантин сохранён как080112_055352_virus_4788aa5020812.zip

[b]Trojan.Win32.Zapchast.dz[/b] C:\WINDOWS\system32\MSCORE.DLL
[b]AdWare.Win32.Agent.zo[/b] C:\WINDOWS\system32\users32.dat
[b]Trojan.Win32.Patched.bh[/b] C:\WINDOWS\system32\svchost.exe

Выполните:
[code]var x : Integer;
Begin
x := CheckFile('%windir%\system32\dllcache\svchost.exe');
If x = 3 then
begin
AddToLog('>>>Файл опознан как безопасный, продолжаем');
RenameFile('%windir%\system32\svchost.exe', '%windir%\system32\svchost.bak');
CopyFile('%windir%\system32\dllcache\svchost.exe', '%windir%\system32\svchost.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','SFCDisable',000000000);
BC_DeleteFile('%windir%\System32\MSCORE.DLL');
BC_DeleteFile('%windir%\system32\svchost.bak');
BC_Activate;
SaveLog(GetAVZDirectory + 'cure.log');
RebootWindows(true);
end else
AddToLog('>>>Файл не опознан как безопасный, стоп!');
SaveLog(GetAVZDirectory + 'cure.log');
end.[/code]
Сделайте новый комплект логов и прикрепите cure.log из папки с AVZ

,...а вот и логи

....это выгружено до последнего скрипта.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

а скажите, пожалуйста, из-за чего вчера вечером система загибалась после первого скрипта? это связано со скриптом zerocorporated или так совпало?

Тогда после скрипта из поста 17 логи не делайте, выполните скрипт в посте 17, затем этот скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('%WINDIR%\SYSTEM32\msfir80.exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Iot85.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Iot85.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Iot85');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
И только потом логи

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote]это связано со скриптом zerocorporated или так совпало?[/quote]
Ничего, что могло бы это вызвать, в том скрипте нет

СПАСИБО.

а пост 17 не выполняется - выдает
ошибка: Undeclared identifier: 'x' в позиции 2:2

Извиняюсь, криво скопировал, исправил

почсле постов 17+20 = svchost перестал сыпать ошибки....

Сам не ожидал, что все так хорошо удалится :smile:

Пофиксьте:
[code]O4 - HKCU\..\Run: [MsServer] msfir80.exe[/code]

Выполните:
[code]var
X : integer;
begin
X := ExecuteWizard('TSW', 1, 1, true);
AddToLog('Количество найденных проблем = '+inttostr(X));
end.[/code]
Лог virusinfo_syscheck сделайте еще раз (думаю в последний)

1.при входе в систему вылетает сообщение:

"Предотвращение выполнения данных -Microsoft Windows" -
Для защиты компьютера эта программа была закрыта системой.
Имя: Generic Host Process for Win32 Services

После нажатия кнопки "закрыть сообщение" - ".....отправить отчет в Microsoft?"

нет -> возврат к "Предотвращению"

2. а это нужно, стесняюсь спросить......?

[I]O4 - HKCU\..\Run: [Dot1XCfg] C:\Program Files\Dot1XCfg\Dot1XCfg.exe[/I]

тогда зря я эту папку вчера в пылу да и в горячке) прибил....
:ohmy:

windows регулярно обновляете ?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

dot1xcfg.exe - програмка для подключения к беспроводной сети ...

нет.
:blink:
SP2 и все.
автоматическое обновление отключено, дабы не пользовать трафик и избежать сюрпризов....

вот и имеете ...
срочнно ставте эти (ошибка должна пропасть)
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=9a3bfbdd-62ea-4db2-88d2-415e095e207f[/url]
[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=2996b9b6-03ff-4636-861a-46b3eac7a305&displaylang=ru[/url]
очень рекомендую автоматическое обновление включить ...

С П А С И Б О
огромное - ошибка пропала, к работе системы нареканий больше нет.
:xmas:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Поможем отключить, что из этого не нужно

использование - малая сеть (рабочая группа)
NetMeeting точно не нужен
планировщик заданий, думаю, тоже
терминальные машины не используем
... в остальном точно не уверен

выполните скрипт ...
[code]
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mscore.dll - [B]Trojan.Win32.Zapchast.dz[/B] (DrWEB: Trojan.DownLoader.39301)[*] c:\\windows\\system32\\svchost.exe - [B]Trojan.Win32.Patched.bh[/B] (DrWEB: Trojan.DownLoader.39301)[*] c:\\windows\\system32\\users32.dat - [B]not-a-virus:AdWare.Win32.Agent.zo[/B] (DrWEB: Trojan.Click.5043)[/LIST][/LIST]