Постоянно перезагружатся компьютер
Доброго времени суток .Проблема в следующем .Постоянно перезагружался компьютер .Антивируса естественно никого не стояло ,снял винт прошелся Курейтом , нашел троянов всяких .Теперь при загрузке дело доходит до выбора пользователя , при выборе пользователя пишет - Сохранение параметров и предлогает опять выбрать пользователя .В safe mode та же история .Логи выслать соответственно не могу .
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Лог курита остался?если да приложите к сообщению.
Лог 7 метров весит .Может урезать , т.е стереть там где стоит - ОК ?
давайте+запакуйте его в архив
Вот что-то такое вышло :
Последний раз редактировалось Wazza; 05.06.2008 в 23:06.
E:\WINDOWS\system32\userini.exe - подмена userinit.exe
Надо попробовать заменить его на чистый, скопировав с дискеты, либо записав на CD-R.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Точнее, скопируйте с чистой системы userinit.exe.
Userinit.exe скопировал с системы где стоит Панда и тестиццо постоянно Курейтом , комп загрузился , там этого файла вообще не было . Сделать логи и выслать?
Да, только не выслать, а прикрепить к сообщению.Сообщение от Wazza
I am not young enough to know everything...
Есть.
Последний раз редактировалось Wazza; 05.06.2008 в 23:06.
Это круто!!! Такой зоопарк!!
Выполнить скрипт:
Загрузить весь карантин. Сделать новый комплект логов.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearHostsFile; QuarantineFile('C:\WINDOWS\Temp\NT1B83132.exe',''); QuarantineFile('C:\WINDOWS\Temp\loader.exe',''); DelBHO('{81dbab16-ca34-c433-be80-11e6692428a8}'); QuarantineFile('csrcs.dll',''); QuarantineFile('msime82.exe',''); QuarantineFile('msfun80.exe',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\Windows\system\winload.exe',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\gycm473.exe',''); QuarantineFile('C:\WINDOWS\system32\drvinqyl.exe',''); QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe',''); QuarantineFile('wdlq40.sys',''); QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ntY38.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Djo85.sys',''); QuarantineFile('C:\Documents and Settings\User\ie_updates3r.exe',''); SetServiceStart('Google Online Services', 4); StopService('Google Online Services'); QuarantineFile('c:\windows\system32\mbdis.exe',''); BC_DeleteSvc('windows internet security'); QuarantineFile('c:\windows\system32\gycm473.exe',''); DeleteFile('c:\windows\system32\mbdis.exe'); DeleteFile('C:\Documents and Settings\User\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Djo85.sys'); BC_DeleteSvc('Djo85'); BC_DeleteSvc('ntY38'); DeleteFile('C:\WINDOWS\System32\Drivers\ntY38.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys'); DeleteFile('C:\WINDOWS\system32\drivers\wdlq40.sys'); BC_DeleteSvc('wdlq40'); DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe'); DeleteFile('C:\WINDOWS\TEMP\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\drvinqyl.exe'); DeleteFile('C:\WINDOWS\system32\gycm473.exe'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\Windows\system\winload.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('msfun80.exe'); DeleteFile('msime82.exe'); DeleteFile('csrcs.dll'); DeleteFile('C:\WINDOWS\Temp\loader.exe'); DeleteFile('C:\WINDOWS\Temp\NT1B83132.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пока ждал ответа , поставил демо Dr.Web . Карантин выслал .
Последний раз редактировалось Wazza; 05.06.2008 в 23:07.
пофиксите ...
выполните скрипт ...Код:O2 - BHO: 158117 helper - {427b1fd8-2123-4334-a7d8-7a497363914b} - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{8D56F160-FF3A-430F-93DF-AF15191D82CB}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.35 85.255.112.189 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.35 85.255.112.189 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.35 85.255.112.189 O20 - Winlogon Notify: winctrl32 - C:\WINDOWS\
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\gycm621.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\RE823LSE\575857[1].exe',''); QuarantineFile('kduzm.exe',''); DeleteFile('kduzm.exe'); DeleteFile('C:\WINDOWS\system32\gycm621.exe'); DeleteFile('C:\System Volume Information\_restore{2B08B9A5-F840-4DF7-90AF-28D467A1BF44}\RP360\A0088824.dll'); DeleteFile('C:\System Volume Information\_restore{2B08B9A5-F840-4DF7-90AF-28D467A1BF44}\RP360\A0088829.sys'); DeleteFile('C:\System Volume Information\_restore{2B08B9A5-F840-4DF7-90AF-28D467A1BF44}\RP360\A0088831.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
После выполнения скрипта слетели DNS-ы.Карантин выслал .
Последний раз редактировалось Wazza; 05.06.2008 в 23:06.
В DNS-ах у Вас был прописан вредный сервер из Одессы-мамы. Ежели Вы не оттуда, то надо узнавать у вашего провайдера правильные настройки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
DNS стоял такой же как и шлюз ,192.168.0.1 . По поводу логов что-нибудь скажете?
Добавлено через 1 минуту
Просто комп офисный , инет идет с соседнего компа .
Последний раз редактировалось Wazza; 05.06.2008 в 13:32. Причина: Добавлено
85.255.115.35 85.255.112.189 - вот эти были в ДНСах. Их и удалили.
Одного еще надо подчистить, думаю хуже не станет:
Больше ничего плохого в логах не увидел.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\System Volume Information\_restore{2B08B9A5-F840-4DF7-90AF-28D467A1BF44}\RP360\A0088830.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Извините , забыл что комп взят из другого офиса
Добавлено через 45 секунд
Насчет ДНСа щас с провайдером разберусь .
Добавлено через 8 минут
Опять делать новые логи и высылыть карантин?
Последний раз редактировалось Wazza; 05.06.2008 в 14:03. Причина: Добавлено
На всякий случай высылаю последние логи . Спасибо за помощь .
Последний раз редактировалось Wazza; 05.06.2008 в 23:06.
выполните скрипт ...
повторите логи начиная с пункта 10 правил ...Код:begin BC_DeleteSvc('gsqk70'); BC_DeleteSvc('ulu43'); BC_DeleteSvc('vvts69'); BC_Activate; RebootWindows(true); end.
Уважаемый(ая) Wazza, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
