Руткит

Здравствуйте , находит руткота в папке систем32\х,поидеи после перезагрузки он появляется снова . после его удаления проблемы с инетом . еще выскакивает окошко что "инструкция обратилась по адресу память не может быть рид". ах да в безопасном режиме при сканированнии куреитом вырубает комп(тоже гдето в районе програм файлов). вроде все.есть еще 1 комп там непускает на ваш сайт но об этом позже...вроде все делал по инструкции если что не так не игнорируйте напишите что не так.

Сделайте лог Gmer и прикрепите к новому сообщению в этой теме

вот вам

Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
DeleteService('xyhanks');
QuarantineFile('C:\WINDOWS\system32\dxnhdz.dll','');
DeleteFile('C:\WINDOWS\system32\dxnhdz.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению

+ к [B]shapel[/B]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится p4konozj.exe (gmer)
[CODE]p4konozj.exe -del service xyhanks
p4konozj.exe -del file "C:\WINDOWS\system32\dxnhdz.dll"
p4konozj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xyhanks"
p4konozj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xyhanks"
p4konozj.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

новый лог. но помоему комп не перезагрузился после выполнения скрипта а выключился (если это имеет значение)

как сохранить текст в формат bat?

Выполните рекомендации [B]thyrex[/B]

как сохранить текст в формат bat?

Запустить [B]Блокнот[/B] и скопировать скрипт в документ
[B]Файл - Сохранить как...[/B]
[B]Тип файла[/B] - Все файлы (*.*)
[B]Имя файла[/B] - cleanup.bat
[B]Сохранить[/B]

спс получилось.оно написало что неможет найти тот файл что вы хотели удалить а потом что неверно что-то задано неверно . делаю лог

во время как делался лог , снова выскочило окошко что svhost что-то там ошибка память не может быть ритен, и пропал инет , пришлось перегрузить комп

Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению

лог

я что-то сделал не так ? или вы просто оч заняты?

[QUOTE='andreyOL;516705']я что-то сделал не так ? или вы просто оч заняты? [/QUOTE]
Просто добирался домой:)
В логе чисто, что с проблемой?

вот минут 20 назад выскочило снов это окошко пришлось перегружать комп, я так понял что если нажать ок то зависает комп а если нет то пропадает соединение (сеть и инет)

Сделайте такой лог [URL="http://virusinfo.info/showthread.php?t=53070"]http://virusinfo.info/showthread.php?t=53070[/URL]

Это нормально?

Для такого:
[code]Platform: Windows XP SP2 (WinNT 5.01.2600)[/code]
нормально.

ye djn

В MBAM удалите это
[CODE]Заражено файлов:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\23SVAR2H\yjuxba[1].bmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EBARQDKZ\dutv[1].jpg (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EBARQDKZ\dutv[1].png (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EBARQDKZ\utiuo[1].jpg (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W9ITAJW1\cxhb[1].jpg (Trojan.Dropper) -> No action taken.
C:\Temp\sig1.tmp (Trojan.Dropper) -> No action taken.
C:\Temp\ir_ext_temp_0\AutoPlay\Docs\antialawar_05.exe (Trojan.Downloader) -> No action taken.[/CODE]
Как удалять см. здесь [URL]http://virusinfo.info/showthread.php?t=53070[/URL]
Повторите лог МБАМ

Если вы думали что я уйде не сказав спасибо то ошиблись.
ситуация такая после всего этого лечения стало непускать на ваш сайт и на все более менее известные сайты антивирусов, также из 3 компов в сетке перестало пускать на тот где можно было зайти на ваш сайт (на остальных это тоже блокировалось) . поэтому не смог скинуть логи (прикрепляю не выбрасывать же их) .Решил проблему(думаю что решил) скачал авиру принес на диске установил вроде все проблемы исчезли. тепеь стоят вместе авира и аваст . ничего страшного?
Всем большое спасибо за попытку помочь . если что я к вам вернусь

Выполните скрипт в avz
[code]begin
DeleteFileMask('C:\Temp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Сделаете новый лог mbam

[QUOTE='andreyOL;518627']тепеь стоят вместе авира и аваст . ничего страшного?[/QUOTE] Могут не поделить зловреда:) Лучше оставить один антивирус.

не нашел он ничего ,но я наверное не правильно немного делал , потому что было запущено 2 антиируса , и они по ходу ловили зловредов в темповских файлах штук 10 авира поймала , и аваст парочку в систем волум информейшн. не прилагаю логи потому что я их наверное нечаяно удалил , но там написано было что ненайдено ничего совсем даже подозжений нет

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]