Похоже еще что-то осталось после лечения, ноутбук не мой, а знакомой. Нужно сделать. Помогите пожалуйста.
Printable View
Похоже еще что-то осталось после лечения, ноутбук не мой, а знакомой. Нужно сделать. Помогите пожалуйста.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{EF8820EB-F11E-4DD6-BC6C-D99084691C18}');
DelBHO('{62249D05-FA0B-4FC9-AA63-64873398E4BF}');
QuarantineFile('C:\WINDOWS\system32\svchosts.exe','');
QuarantineFile('C:\WINDOWS\system32\bojzwjvnon.exe','');
QuarantineFile('C:\WINDOWS\System32\mdm.exe','');
QuarantineFile('C:\WINDOWS\System32\nnnmjgFx.dll','');
QuarantineFile('C:\WINDOWS\System32\mlJBQIyv.dll','');
DeleteFile('C:\WINDOWS\System32\mlJBQIyv.dll');
DeleteFile('C:\WINDOWS\System32\nnnmjgFx.dll');
DeleteFile('C:\WINDOWS\system32\bojzwjvnon.exe');
DeleteFile('C:\WINDOWS\system32\svchosts.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо. Все сделал. Новые логи и карантин выслал...
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {8246E896-64FA-4819-BFD0-8A7AB6A3E213} - C:\WINDOWS\System32\nnnmjgFx.dll (file missing)
O2 - BHO: (no name) - {EF8820EB-F11E-4DD6-BC6C-D99084691C18} - C:\WINDOWS\System32\mlJBQIyv.dll (file missing)
O4 - HKLM\..\RunServices: [Windows Services Aganters] bojzwjvnon.exe
O4 - HKLM\..\RunServices: [mmsass] svchosts.exe
O20 - Winlogon Notify: mlJBQIyv - mlJBQIyv.dll (file missing)
[/code]
Перезагрузите компьютер и повторите лог HijackThis.
Какие-то проблемы остались?
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\RunServices: [Windows Services Aganters] bojzwjvnon.exe
O4 - HKLM\..\RunServices: [mmsass] svchosts.exe
O20 - Winlogon Notify: mlJBQIyv - mlJBQIyv.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{07F904EF-FD1E-4AEE-99D7-8BCF42E067BD}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{EF8820EB-F11E-4DD6-BC6C-D99084691C18}');
DelBHO('{8246E896-64FA-4819-BFD0-8A7AB6A3E213}');
QuarantineFile('C:\WINDOWS\System32\mlJBQIyv.dll','');
QuarantineFile('C:\WINDOWS\System32\nnnmjgFx.dll','');
QuarantineFile('C:\WINDOWS\System32\mdm.exe','');
DeleteFile('C:\WINDOWS\System32\mdm.exe');
DeleteFile('C:\WINDOWS\System32\nnnmjgFx.dll');
DeleteFile('C:\WINDOWS\System32\mlJBQIyv.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
[CODE]expand X:\i386\mdm.ex_ C:\WINDOWS\System32\[/CODE]
Вместо Х вставьте букву CD-драйва.
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо. Все сделал. Только не могу выйти с него в интернет через локальную сеть - после запуска IE и ввода адреса выскакивает "Подключение удаленного доступа" (MMS Ethernet(PPPoE)), а через сетку не хочет... в сетевом поключении параметры прописаны. Подскажите, пожалуйста, что я делаю не так, в чем проблема.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(14);
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК и комплект логов - в студию.
Извините, не видел сообщения #5 от Rene-gad. Сейчас все сделаю. Спасибо.
Код:
expand X:\i386\mdm.ex_ C:\WINDOWS\System32\
это не сделал... говорит "не найден файл или каталог" или "неправильно указан файл или каталог" - точно не помню.
логи сейчас делаю...
Спасибо. Последние логи ...
С интернетом проблема таже - описана в сообщении #6. Как исправить...
[QUOTE=VladMS;282297]С интернетом проблема таже - описана в сообщении #6. Как исправить...[/QUOTE]Скрипт из сообщения 7 запускали?
Попробуйте еще WinsockFix: [url]http://www.softpedia.com/progDownload/WinSockFix-Download-15337.html[/url]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=VladMS;282253]
expand X:\i386\mdm.ex_ C:\WINDOWS\System32\[/QUOTE]
Вы вместо Х букву сидюка подставили? Она м.б. не такая, как в нормальной системе.
[QUOTE=Rene-gad;282301]Скрипт из сообщения 7 запускали?[/QUOTE]
запускал
[QUOTE]Попробуйте еще WinsockFix: [url]http://www.softpedia.com/progDownload/WinSockFix-Download-15337.html[/url][/QUOTE]
пофиксил
[QUOTE][size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Вы вместо Х букву сидюка подставили? Она м.б. не такая, как в нормальной системе[/QUOTE]
подставил..., но такого файла в каталоге i386\mdm.ex_ почему-то нет
проблемы с выходом в интернет через локалку остались...
дома через "Подключение удаленного доступа" (MMS Ethernet(PPPoE)) все работает без проблем, а через локалку никак не хочет... Как исправить?
Попробуйте так
[CODE]expand X:\i386\mdm.ex_ C:\WINDOWS\System32\mdm.exe[/CODE]
Посмотрите какие cab-архивы лежат в каталоге X:\i386\.
Список - в студию.
Эта комада покажет содержимое архивов без распаковки.
[CODE]expand /d Х:\i386\<<архив>>.cab[/CODE]
[QUOTE=Rene-gad;282640]Попробуйте так
[CODE]expand X:\i386\mdm.ex_ C:\WINDOWS\System32\mdm.exe[/CODE]
Посмотрите какие cab-архивы лежат в каталоге X:\i386\.
Список - в студию.[/QUOTE]
вот список
Том в устройстве E имеет метку GRTMPVOL_RU
Серийный номер тома: AC26-5CD6
Содержимое папки E:\I386
15.04.2008 16:00 620574 DRIVER.CAB
15.04.2008 16:00 12011 FP40EXT.CAB
15.04.2008 16:00 20441 IIS6.CAB
15.04.2008 16:00 95506 IMS.CAB
15.04.2008 16:00 43814 MANAGER.CAB
15.04.2008 16:00 92716 MMSSETUP.CAB
15.04.2008 16:00 14223 MODEM.CAB
15.04.2008 16:00 684 OSC.CAB
15.04.2008 16:00 201844 SP3.CAB
15.04.2008 16:00 7932 WIN.CAB
15.04.2008 16:00 8014 WINSYS.CAB
15.04.2008 16:00 3454 WINSYS32.CAB
12 файлов 911313 байт
0 папок 0 байт свободно
[QUOTE]Эта комада покажет содержимое архивов без распаковки.
[CODE]expand /d Х:\i386\<<архив>>.cab[/CODE][/QUOTE]
смотреть список файлов всех архивов из списка?
Давайте упростим задачу: В консоли восстановления переименуйта файл [CODE] ren C:\WINDOWS\System32\mdm.exe mdm.old[/CODE] и скопируйте [CODE]copy C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe[/CODE]
Повторите логи.
Файл mdm.old закачайте по правилам для анализа.
[QUOTE=Rene-gad;282661]Давайте упростим задачу: В консоли восстановления переименуйта файл [CODE] ren C:\WINDOWS\System32\mdm.exe mdm.old[/CODE][/QUOTE]
говорит "Не удается найти указанный файл или папку"
в каталоге C:\WINDOWS\System32\ файла mdm.exe действительно нет (просмотрел каталог)
[QUOTE]и скопируйте [CODE]copy C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe[/CODE][/QUOTE]
говорит "неправильный параметр", хотя команда введена правильно
[QUOTE]Повторите логи.
Файл mdm.old закачайте по правилам для анализа.[/QUOTE]
логи сейчас сделаю...
может это поможет:
на ноуте стояла Windows XP SP1а, на нее был установлен SP3..., установка прошла без каких бы то ни было проблем..., до установки SP3 были такие же проблемы с выходом в интернет через локалку...
[QUOTE=VladMS;282681]
говорит "неправильный параметр", хотя команда введена правильно[/QUOTE]Вы правы: я забываю, что в recovery console допустимы только имена в формате DOS8.3 :)
[CODE]copy C:\Progra~1\Common~1\Micros~1\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe[/CODE]
Сейчас делаю логи...
Как сделаю тогда выполню команду copy...
новые логи...
[QUOTE=Rene-gad;282711]Вы правы: я забываю, что в recovery console допустимы только имена в формате DOS8.3 :)
[CODE]copy C:\Progra~1\Common~1\Micros~1\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe[/CODE][/QUOTE]
говорит "Отказано в доступе", хотя пароль администратора введен правильно.
В редакторе реестра пройдите в папку [B]HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run[/B], удалите ключ [B]Windows Services Aganters [/B]
Больше ничего плохого не увидел.
[QUOTE=Rene-gad;282776]В редакторе реестра пройдите в папку [B]HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run[/B], удалите ключ [B]Windows Services Aganters [/B][/QUOTE]
сделал
[QUOTE]Сообщение от Rene-gad
Вы правы: я забываю, что в recovery console допустимы только имена в формате DOS8.3
Код:
copy C:\Progra~1\Common~1\Micros~1\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe[/QUOTE]
скопировал файл mdm.exe из C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\ в C:\WINDOWS\System32\ прямо в Windows.
[QUOTE]Больше ничего плохого не увидел.[/QUOTE]
Ну ладно, вроде все работает нормально... СПАСИБО ОГРОМНОЕ за помощь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\bojzwjvnon.exe - [B]Backdoor.Win32.Rbot.gen[/B] (DrWEB: Win32.HLLW.MyBot)[*] c:\\windows\\system32\\mljbqiyv.dll - [B]Trojan.Win32.Monderb.fnk[/B] (DrWEB: Trojan.Virtumod.448)[*] c:\\windows\\system32\\nnnmjgfx.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.493)[*] c:\\windows\\system32\\svchosts.exe - [B]Net-Worm.Win32.Kolabc.cuj[/B] (DrWEB: BackDoor.IRC.Sdbot.4108)[/LIST][/LIST]