Здравствуйте, nod32 находил Троянов – писал, что успешно удалял их, но впоследствии они вновь вылазили. В internet explorer постоянно пропадали картинки.
Printable View
Здравствуйте, nod32 находил Троянов – писал, что успешно удалял их, но впоследствии они вновь вылазили. В internet explorer постоянно пропадали картинки.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файл:
[CODE]C:\WINDOWS.0\System32\drivers\Winxd38.sys
C:\WINDOWS.0\system32\msvcrt64.dll
[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\ntos.exe,
O2 - BHO: C:\WINDOWS.0\system32\jdgf8edfsde.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS.0\system32\jdgf8edfsde.dll
O4 - HKLM\..\Run: [C:\WINDOWS.0\system32\kdxgh.exe] C:\WINDOWS.0\system32\kdxgh.exe
O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\ADMINI~1.TES\LOCALS~1\Temp\csrssc.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O17 - HKLM\System\CCS\Services\Tcpip\..\{27198140-7043-4E95-8061-7CBA63195EE5}: NameServer = 85.255.115.20,85.255.112.143
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.20 85.255.112.143
O17 - HKLM\System\CS1\Services\Tcpip\..\{27198140-7043-4E95-8061-7CBA63195EE5}: NameServer = 85.255.115.20,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.20 85.255.112.143
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\svchh8g.dll
O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS.0\
O21 - SSODL: msvcrt64.dll - {6677AB67-90B5-4C59-97ED-A99A8E38737F} - msvcrt64 .dll (file missing)
O22 - SharedTaskScheduler: uj38ehfh7efefefds98jkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS.0\system32\jdgf8edfsde.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}');
DeleteService('Google Online Services');
DeleteService('microsoft internet service');
DeleteService('25e1bb0f');
DeleteService('fanxctrld');
DeleteService('glok+4f0b-f7');
DeleteService('tcpsr');
DeleteService('Kpt26');
DeleteService('Winxd38');
DeleteService('Winwd62');
DeleteService('winvb16');
DeleteService('winsx73');
DeleteService('Winsx27');
DeleteService('winrw05');
DeleteService('winqv16');
DeleteService('winpu05');
DeleteService('winjp16');
DeleteService('Wingm62');
DeleteService('winfk84');
DeleteService('windi73');
QuarantineFile('c:\windows.0\system32\msservice.exe','');
QuarantineFile('C:\Documents and Settings\Administrator.TESTED\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\25e1bb0f.sys','');
QuarantineFile('C:\WINDOWS.0\system32\fanxctrld.sys','');
QuarantineFile('C:\WINDOWS.0\glok+4f0b-f7.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windi73.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winfk84.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Wingm62.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Winjp16.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Winpu05.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winqv16.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Winrw05.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Winsx27.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Winvb16.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Winwd62.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Winxd38.sys','');
QuarantineFile('C:\DOCUME~1\ADMINI~1.TES\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS.0\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS.0\system32\kdxgh.exe','');
QuarantineFile('C:\WINDOWS.0\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS.0\system32\svchh8g.dll','');
QuarantineFile('C:\WINDOWS.0\system32\fanxctrl.dll','');
QuarantineFile('C:\WINDOWS.0\system32\msvcrt64.dll','');
QuarantineFile('C:\WINDOWS.0\system32\jdgf8edfsde.dll','');
DeleteFile('C:\WINDOWS.0\system32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS.0\system32\msvcrt64.dll');
DeleteFile('C:\WINDOWS.0\system32\fanxctrl.dll');
DeleteFile('C:\WINDOWS.0\system32\svchh8g.dll');
DeleteFile('C:\WINDOWS.0\system32\ntos.exe');
DeleteFile('C:\WINDOWS.0\system32\kdxgh.exe');
DeleteFile('C:\WINDOWS.0\TEMP\csrssc.exe');
DeleteFile('C:\DOCUME~1\ADMINI~1.TES\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\WINDOWS.0\System32\drivers\Winxd38.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Winwd62.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Winvb16.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Winsx27.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Winrw05.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winqv16.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Winpu05.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Winjp16.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Wingm62.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winfk84.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Windi73.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys');
DeleteFile('C:\WINDOWS.0\glok+4f0b-f7.sys');
DeleteFile('C:\WINDOWS.0\system32\fanxctrld.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\25e1bb0f.sys');
DeleteFile('C:\Documents and Settings\Administrator.TESTED\ie_updates3r.exe');
DeleteFile('c:\windows.0\system32\msservice.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
icesword не находит тех файлов которые Вы написали: Winxd38.sys - такого вообще там нет, а вместо msvcrt64.dll - есть только msvcrt.dll, mscvrt20.dll и mscvrt40.dll
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
Если не найдены те файлы, пофиксить дальше или нет
Выполняйте дальше, посмотрим на результат. Хуже быть не должно.
Прошу прощения- совсем пропал инетернет.
При "пофиксите" несколько раз выскакмвала табличка "редактирование реестра запрещено администратором системы".
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('winsx73');
DeleteService('Kpt26');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys');
DeleteFile('C:\WINDOWS.0\system32\kdxgh.exe');
DeleteFile('kdxgh.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('winsx73 ');
BC_DeleteSvc('Kpt26 ');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
Повторите логи...
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Не понял,зачем писать в новой теме?:O
Сейчас прийдет злобный модератор и даст вам по ушам:)
Он уже тут:D
Все сделал, логи здесь
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('winsx73');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys','');
DeleteService('Kpt26');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Карантин прислал, логи сделал
скрипт выполнялся ? какрантин пришел не тот , зловреды все на местах ...
выполните пункт 2 правил ... затем дейчтвия из поста 8 заново ...
Папка карантин пуста, скрипты "выполнены успешно"
логи сделал
[URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файл:
[CODE]C:\WINDOWS.0\System32\Drivers\Kpt26.sys
C:\WINDOWS.0\System32\Drivers\Winsx73.sys
[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('winsx73');
DeleteService('Kpt26');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys','');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('winsx73');
BC_DeleteSvc('Kpt26');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.[/QUOTE]
Icesword не находит этих файлов, как и в прошлый раз,
такие же скрипты я сделал только что, нужно их еще раз делать?
[QUOTE=Dengal;260959]такие же скрипты я сделал только что, нужно их еще раз делать?[/QUOTE]Он похож, но не совсем такой ;) (сорри, тайны ремесла, не могу рассказть подробности 8))
Скрипт сделал
Вот теперь чисто. Ставьте Сервис Пак 3.
в логах чисто , но что -то мне подсказывает что у вас система подтормаживает :)
нужно срочно ставить сп3 ....
а где его взять не подскажете?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
извиняюсь, теперь я торможу
огромное спасибо Вам за помощь!!:D
Все почистил, поставил Касперского, установил SP3 - компьютер теперь тормозит со страшной силой. Из-за чего это может быть?
[QUOTE=Dengal;261225]Все почистил, поставил Касперского, установил SP3 - компьютер теперь тормозит со страшной силой. Из-за чего это может быть?[/QUOTE]Все что угодно :) Скан Касперским провели? Логи давайте. Если Вы сначала Касперского поставили и при установке СП3 его не отключили - то проблемы запрограммированы.
Джаву обновили?
[QUOTE]O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll[/QUOTE]
Касперского не отключал при установке Sp3, но он у меня еще до установки начал тормозить - мне для того чтобы запустить скачанный файл(sp3) понадобилось почти полчаса, и это только для запуска. Сейчас компьютер немного отпустило - причем само по себе... вообще не понятно.
[QUOTE=Dengal;261234]Касперского не отключал при установке Sp3[/QUOTE] Это не хороршо - могли положить систему. И не потому, что Касперский а потому что любой антививрус выключать надо - при установке СервисПака заменяются системные файлы. Антивирус должен этому препятствовать.
[QUOTE=Dengal;261234]но он у меня еще до установки начал тормозить - мне для того чтобы запустить скачанный файл(sp3) понадобилось почти полчаса[/QUOTE]
Вот он и препятствовал. А ведь написано на заставке СП3: ЗАКРОЙТЕ ВСЕ ПРИЛОЖЕНИЯ 8)
[QUOTE=Dengal;261234]
Сейчас компьютер немного отпустило - причем само по себе... вообще не понятно.[/QUOTE]Очень даже понятно :) Каспер после установки делает обновление баз - обычно очень энергоемкая операция - и сканировние важных системных обеьктов. Он так же запоминает с помощью iSwift/IChecker проверенные обьекты. Если они не изменились, то потом не проверяются. И базы накачиваются уже меньшими порциями.
и в итоге нужно перезапустить sp3 при выключенном касперском?
[QUOTE=Dengal;261292]и в итоге нужно перезапустить sp3 при выключенном касперском?[/QUOTE]
да теперь уже ничего не надо. Как говорили в Одессе:
[QUOTE]Поздно, Маня, пить боржом, когда почка отказала[/QUOTE]
И потом - Вы же сказали, что уже не тормозит :)
Тогда ладно - спасибо за помощь!:D
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]