Не буду оригинальной: все та же зараза... Очень нужна ваша помощь!
http://ifolder.ru/7897902
Не буду оригинальной: все та же зараза... Очень нужна ваша помощь!
http://ifolder.ru/7897902
Отключив интернет и антивирус, выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\svch16.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\blphc37uj0e1e9.scr'); DeleteFile('C:\WINDOWS\system32\svch16.dll'); DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:exe.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winej38'); BC_DeleteSvc('Winbg84'); BC_DeleteSvc('PavSRK.sys'); BC_DeleteSvc('WZCSVCICF'); BC_DeleteSvc('WudfSvcWZCSVCSwPrvPolicyAgent'); BC_DeleteSvc('WudfSvcWZCSVC'); BC_DeleteSvc('WudfSvcFastUserSwitchingCompatibilityRpcLocator'); BC_DeleteSvc('WudfSvcFastUserSwitchingCompatibility'); BC_DeleteSvc('wuauservsp_clamsrvDnscache'); BC_DeleteSvc('wuauservsp_clamsrv'); BC_DeleteSvc('WmdmPmSNPlugPlay'); BC_DeleteSvc('winmgmtTrkWks'); BC_DeleteSvc('W32Timesp_rssrv'); BC_DeleteSvc('W32TimeRasMan'); BC_DeleteSvc('TlntSvrHTTPFilter'); BC_DeleteSvc('ThemesNetDDE'); BC_DeleteSvc('TapiSrvclr_optimization_v2.0.50727_32'); BC_DeleteSvc('SwPrvPolicyAgent'); BC_DeleteSvc('SSDPSRVEventlog'); BC_DeleteSvc('srserviceBthServwscsvcEventlog'); BC_DeleteSvc('srserviceBthServwscsvc'); BC_DeleteSvc('SpoolerTermService'); BC_DeleteSvc('ShellHWDetectionbtwdins'); BC_DeleteSvc('SamSsSCardSvrSwPrvPolicyAgent'); BC_DeleteSvc('SamSsSCardSvr'); BC_DeleteSvc('RpcSsSysmonLog'); BC_DeleteSvc('RpcSsFastUserSwitchingCompatibilityRemoteAccess'); BC_DeleteSvc('RemoteRegistryWebClient'); BC_DeleteSvc('RDSessMgrBthServwscsvc'); BC_DeleteSvc('RasAutoNetman'); BC_DeleteSvc('PolicyAgentDnscache'); BC_DeleteSvc('NtmsSvcSysmonLog'); BC_DeleteSvc('NtLmSsp Studio Analyzer RPC bridge'); BC_DeleteSvc('NlaSchedule'); BC_DeleteSvc('NlaNetDDE'); BC_DeleteSvc('NetSvcShellHWDetectionbtwdins Agent Service (default)'); BC_DeleteSvc('NetSvcShellHWDetectionbtwdins'); BC_DeleteSvc('NetSvcaspnet_state'); BC_DeleteSvc('NetDDEThemesVSS'); BC_DeleteSvc('NetDDEThemes'); BC_DeleteSvc('NetDDESSDPSRV'); BC_DeleteSvc('NetDDESCardSvr'); BC_DeleteSvc('NetDDEdsdmTrkWks'); BC_DeleteSvc('MessengerScheduledmserver'); BC_DeleteSvc('MessengerSchedule'); BC_DeleteSvc('MessengerNetDDEThemes'); BC_DeleteSvc('HidServNetmanWudfSvcFastUserSwitchingCompatibility'); BC_DeleteSvc('HidServNetman'); BC_DeleteSvc('helpsvcstisvc'); BC_DeleteSvc('Gpcteassdd'); BC_DeleteSvc('FastUserSwitchingCompatibilityRemoteAccess'); BC_DeleteSvc('DnscacheNlaHidServNetman'); BC_DeleteSvc('DnscacheNla'); BC_DeleteSvc('DnscacheGpcteassdd'); BC_DeleteSvc('Dnscache LM Service'); BC_DeleteSvc('COMSysApp Studio Analyzer RPC bridge'); BC_DeleteSvc('clr_optimization_v2.0.50727_32Eventlog'); BC_DeleteSvc('BthServwscsvc'); BC_DeleteSvc('Bthfpfap_xpa'); BC_DeleteSvc('aspnet_stateDcomLaunch'); BC_DeleteSvc('ALGRasAutoDcomLaunch'); BC_DeleteSvc('ALGRasAutoCCALib8'); BC_DeleteSvc('ALGRasAuto'); BC_DeleteSvc('sp_rssrvRpcLocatorWmi'); BC_DeleteSvc('sp_rssrvRpcLocatorclr_optimization_v2.0.50727_32Eventlog'); BC_DeleteSvc('sp_rssrvRpcLocator'); BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=29195).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Спасибо, что откликнулись!!! Вот новые логи
moderated:::логи по возможности прикрепляйте к сообщению. На файлообменник - только при проблемах с загрузкой стандартным путем.
Последний раз редактировалось Rene-gad; 29.08.2008 в 16:46.
С помощью Ice Sword, как написано здесь: http://virusinfo.info/showthread.php?t=17228,
удалите файлы:
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winmr05.sys
Сразу после этого выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dl_'); DeleteFile('C:\WINDOWS\system32\Drivers\Winmr05.sys'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winmr05'); BC_DeleteSvc('RemoteRegistryWebClientose'); BC_DeleteSvc('mnmsrvcTlntSvrHTTPFilter'); BC_DeleteSvc('sp_rssrvNtmsSvc'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
Попробуйте все же прикрепить логи к сообщению.
I am not young enough to know everything...
По какой-то причине не работает именно подгрузка файлов...
Вынуждена отправлять все же через ifolder.ru...
http://ifolder.ru/7904973
Еще у меня перед приветствием это предупреждение появляется, как я уже прочла ранее, у многих такое бывает... С этим тоже что-то можно сделать?
Большое спасибо!!!!!!
Последний раз редактировалось Rene-gad; 29.08.2008 в 17:06.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скрипт 1Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60076 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076 R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll O2 - BHO: MyCentria Internet Mate v1.95 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL O3 - Toolbar: Ïàíåëü &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll O15 - Trusted Zone: *.p0rt2.com O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('wscsvcTapiSrv'); DelBHO('{10954C80-4F0F-11d3-B17C-0055DF987022}'); DelBHO('{4B3803EA-5230-4DC3-A7FC-33638F3D3542}'); DelBHO('{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('C:\PROGRA~1\Crawler\ctbr.dll'); DeleteFile('mailto:[email protected]?subject=I_want_to_send_you_article&body=Hello___Nikolay'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('wscsvcTapiSrv'); BC_Activate; RebootWindows(true); end.
- Выполните скрипт 2
После перезагрузкиКод:begin executerepair(5); executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи - 3 штуки - по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Все сделала, как вы и рекомендовали. Единственное, не могу понять закачался карантин или нет, так как страница уж очень долго грузится...
Новые логи прикреплены. Спасибо!
Сорри, начал писать Вам ответ - сервер опять обвалился.
Прежде всего выполните п.2 правил.
Потом
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file) O9 - Extra button: Отправить статью или интересную работу на [email protected] - {10954C80-4F0F-11d3-B17C-0055DF987022} - mailto:[email protected]?subject=I_want_to_send_you_article&body=Hello___Nikolay (file missing) O9 - Extra 'Tools' menuitem: Отправить свою статью или интересную чужую работу на [email protected] - {10954C80-4F0F-11d3-B17C-0055DF987022} - mailto:[email protected]?subject=I_want_to_send_you_article&body=Hello___Nikolay (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\895042125.exe ',''); QuarantineFile('C:\WINDOWS\Temp\1251718920.exe',''); DeleteFile('C:\WINDOWS\Temp\895042125.exe '); DeleteFile('C:\WINDOWS\Temp\1251718920.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Четко следовала вашим рекомендациям. Высылаю еще раз новые логи.
Спасибо, что помогаете!
В логах проблем не вижу.
Нужно поставить Сервис Пак 3, воэможно потребуется активация системы.
В некоторых Ваших файлах АВЗ нашел зловредные сигнатуры.
Это скорее всего ложняки.
Поэтому просьба (если не сложно):
- Выполните скрипт
После перезагрузки Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Компьютерная графика\Компьютерная графика.rar',''); QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Компьютерная графика\Курсовая\Реализации алгоритмов\Окружность - Брезенхем.exe',''); QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Компьютерная графика\Курсовая по КГ.rar',''); QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Моделирование\Иришка\ИОиМО[1].part1.rar',''); QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Моделирование\Иришка\ИОиМО[1].part2.rar',''); QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Моделирование\Иришка\ИОиМО[1].part3.rar',''); QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Моделирование\Иришка\ИОиМО[1].part4.rar',''); BC_ImportAll; RebootWindows(true); end.
Спасибо.
Последний раз редактировалось Rene-gad; 30.08.2008 в 20:23.
Попыталась выполнить скрипт, но АВЗ выдает ошибку:
Ошибка скрипта: ';' expected, позиция [13:4]. По-моему в конце кода не хватает еще одного end...?
Спасибо! Все сделала и карантин выслала.
Хотела у вас еще узнать, а можно ли окончательно избавиться от этого противного предупреждения, которое появляется у меня перед приветствием? С рабочего стола оно исчезло, а при загрузке еще появляется...
Спасибо за файлы
- Выполните скрипт
Должно помочьКод:begin executerepair(5); executerepair(6); executerepair(8); RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper',''); RebootWindows(true); end.
Спасибо! Все в порядке!!!
А вы не могли бы посоветовать какие-нибудь меры предосторожности, чтобы эту гадость вновь не подцепить? Каким вообще антивирусом лучше пользоваться?
Почитайте на досуге http://security-advisory.virusinfo.info/
Антивирусы здесь http://virusinfo.info/forumdisplay.php?f=39
Спасибо огромное, ребята, за помощь! Вы настоящие профессионалы!!! Желаю вам здоровья, а вашим пациентам скорейшего выздоровления!
P.S. Благодаря вам мой подопечный чувствует себя хорошо . Буду надеяться, что рецидива не будет...
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\svchost.exe:exe.exe:$data - Trojan-Downloader.Win32.Injecter.akw (DrWEB: Trojan.DownLoad.4205)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.azr (DrWEB: Trojan.DownLoad.3503)
Уважаемый(ая) katykova, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.