- скачайте SP3, сделайте свежие логи, покажите их тут, напишем скрипт, отключитесь от сети, выполните скрипт, установите SP3, подключитесь к сети, посетите веб-узел Windows Update... а там посмотрим
- скачайте SP3, сделайте свежие логи, покажите их тут, напишем скрипт, отключитесь от сети, выполните скрипт, установите SP3, подключитесь к сети, посетите веб-узел Windows Update... а там посмотрим
С уважением,
Alex Plutoff
А. ПЛАТОВ
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
SP3 скачал, выкладываю новые логи...
- восстановление системы всё ещё должно быть отключено, флешки не втыкать, от сети отключиться(выдернуть провод), выполнить в AVZ
...после перезагрузки, если признаков зловреда не будет, установить SP3, перегрузить компьютер, посетить веб-узел Windows Update.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\system.exe'); TerminateProcessByName('c:\documents and settings\казяфка\650418.exe'); BC_DeleteFile('c:\documents and settings\казяфка\650418.exe'); BC_DeleteFile('c:\windows\system32\system.exe'); BC_DeleteFile('C:\DOCUME~1\6BA2~1\LOCALS~1\Temp\00053.sys'); BC_DeleteFile('C:\DOCUME~1\6BA2~1\APPLIC~1\FRAGJU~1\copy cast program.exe'); BC_DeleteFile('c:\docume~1\6ba2~1\applic~1\fragju~1\Barb Dvd One.exe'); BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise323.exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
P.S. будьте готовы к тому, что возможно понадобится повторная активация Windows, возможные варианты и ситуации обсуждались неоднократно, последний раз читайте на http://virusinfo.info/showthread.php?t=40884
С уважением,
Alex Plutoff
А. ПЛАТОВ
огромное спасибо, что уделили мне время и попытались помочь... проблема не пропала, хотя сделал все так, как вы сказали... дата теперь не меняется, но сообщение об ошибке остаётся, если данное сообщение закрыть, то при запуске любого приложения - машина "зависает", поетому попробую работать с открытой ошибкой...
еще раз спасибо
логи делаем.
сделал..
что странно после очередной проверки AVZ- файлы(вирусы), которые программа якобы удалила(либо перенсла в карантин) вновь появляются...
Обновления на windows все стоят?
Ну или хотя бы обновления безопасности...
Добавлено через 1 минуту
в AVZ
Пришлите карантин, как писалось ранееКод:begin QuarantineFile('c:\windows\system32\userinit.exe',''); end.
Последний раз редактировалось light59; 07.03.2009 в 12:17. Причина: Добавлено
дело в том, что я использую (как наверно и многие) нелицензионную копию ПО, поетому при попытке обновить систему, апдейтер ссылается на невозможность выполнения данного действия из за того, что ПО "пиратское" xD
То есть автоматическое обновление у вас заблокированно?.. Я встречал много пираток, но автоматическое работало нормально. Просто выбираете все обновления безопасности и всё...
нет, не заблокировано, в настройках стоит: ежедневно в nn:nn часов, но судя по всему оно не делается (по неизвестной причине)
Измените в настройках на "Уведомлять, но не загружать и не устанавливать..... " и подождите чуток.
изменил, жду.. (а что должно появится?)
В трее должно пояться ...
Карантин где?
Выполнен карантин файла c:\windows\system32\userinit.exe
хм, но карантин лист пустой.. чет я ваще уже ничего не понимаю =(
фиксим
скриптКод:F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit= O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
шлём карантин.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); QuarantineFile('C:\WINDOWS\system32\Drivers\pssdk40.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\pssdklbf.sys',''); TerminateProcessByName('c:\windows\system32\system.exe'); TerminateProcessByName('c:\windows\system\msrsys32.exe'); QuarantineFile('c:\windows\system32\system.exe',''); QuarantineFile('c:\windows\system\msrsys32.exe',''); DeleteFile('c:\windows\system\msrsys32.exe'); DeleteFile('c:\windows\system32\system.exe'); DeleteFile('C:\DOCUME~1\6BA2~1\LOCALS~1\Temp\86176.sys'); DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise323.exe'); DeleteService('sysdrv32'); DeleteService('msrsys'); BC_ImportDeletedList; BC_DeleteSvc('sysdrv32'); BC_DeleteSvc('msrsys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Проверямся AVPTool
логи делаем.
Что с обновлениями?
насчет 1 пункта пожайлуста поподробнее...
с обновлениями пока глухо, в трее ничего не появилось
p.s. да, и если вам не будет трудно, киньте пожайлуста ссылку на avptool
заранее прошу прощения за свою "тупость" =)
1. "Пофиксите" в HijackThis
2. AVPTool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
хух, проблема вроде пропала, вот последние логи, сделанные после полной проверки AVPTool.
P.S. Громаднейшее спасибо Alex Plutoff, light59 за проделанную работу, и время уделённое моей проблеме =)
в AVZ
Обязательно установите AdobeReader 9.0 или деинсталлируйте старый.Код:begin DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys'); BC_ImportDeletedList; BC_DeleteSvc('oreans32'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Больше ничего плохого.
p.s. Спасибо не говорят, спасибо нажимают.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 71
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\application data\cast dale way math\acid dent.exe - Trojan.Win32.Obfuscated.abpg( DrWEB: Trojan.Swizzor.based, BitDefender: Trojan.Swizzor.4 )
- c:\documents and settings\казяфка\361376.exe - Trojan.Win32.Buzus.aoiv( DrWEB: BackDoor.IRC.Itan, BitDefender: IRC-Worm.Generic.5864 )
- c:\docume~1\6ba2~1\locals~1\temp\17375.sys - Rootkit.Win32.Agent.hji( DrWEB: Trojan.NtRootKit.2692, BitDefender: Trojan.Rootkit.Agent.NGA )
- c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\ise323.exe - Worm.Win32.AutoRun.voa( DrWEB: BackDoor.IRC.Sdbot.4595, BitDefender: Worm.Generic.39025 )
- c:\windows\system\msrsys32.exe - Backdoor.Win32.IRCBot.hyl( BitDefender: Trojan.Generic.1539888 )
- c:\windows\system32\fmrlib.dll - Trojan-Ransom.Win32.Hexzone.adg( BitDefender: Trojan.Generic.1207064 )
- c:\windows\system32\inelib.dll - Trojan-Ransom.Win32.Hexzone.xq( DrWEB: Trojan.Blackmailer.184, BitDefender: Trojan.Generic.1010146 )
- c:\windows\system32\pllib.dll - Trojan-Ransom.Win32.Hexzone.cs( DrWEB: Trojan.Blackmailer.151 )
- c:\windows\system32\system.exe - Trojan.Win32.Agent2.enb( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Autorunner.I )
- c:\windows\system32\ydzlib.dll - Trojan-Ransom.Win32.Hexzone.gen( DrWEB: Trojan.Blackmailer.648, BitDefender: Trojan.Generic.1201009 )
Уважаемый(ая) exxxpert, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
