Добрый день.
Постоянно в процессе работы появляются окна IE и компьютер предлагает загрузить антивирус SPYGuardPro.
Все логи во вложении.
Как избавиться от этого - работать невозможно
Добрый день.
Постоянно в процессе работы появляются окна IE и компьютер предлагает загрузить антивирус SPYGuardPro.
Все логи во вложении.
Как избавиться от этого - работать невозможно
Последний раз редактировалось asale; 02.03.2008 в 10:22.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Apwcmdnt.dll',''); QuarantineFile('C:\WINDOWS\twain_32.exe',''); QuarantineFile('C:\WINDOWS\system32\wowfx.dll',''); QuarantineFile('C:\WINDOWS\System32\yrgpit.dll',''); QuarantineFile('C:\WINDOWS\System32\wowfx.dll',''); QuarantineFile('C:\WINDOWS\System32\printer.exe',''); QuarantineFile('C:\WINDOWS\System32\ntos.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe',''); QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe',''); QuarantineFile('Oaeo36.sys',''); QuarantineFile('C:\WINDOWS\system\hipsrv.mm',''); QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('c:\windows\system32\wmedia32.exe',''); QuarantineFile('c:\windows\system32\microsoft\svchost.exe',''); QuarantineFile('c:\windows\shell.exe',''); QuarantineFile('c:\windows\system32\drivers\spools.exe',''); QuarantineFile('c:\windows\system32\drivers\rsrvmon.exe',''); QuarantineFile('c:\windows\mmhren1.exe',''); QuarantineFile('c:\windows\system32\drivers\lssrv.exe',''); QuarantineFile('c:\windows\system32\_svchosta.exe',''); QuarantineFile('c:\windows\system32\_svchost.exe',''); DeleteFile('c:\windows\system32\_svchost.exe'); DeleteFile('c:\windows\system32\_svchosta.exe'); DeleteFile('c:\windows\system32\drivers\lssrv.exe'); DeleteFile('c:\windows\mmhren1.exe'); DeleteFile('c:\windows\system32\drivers\rsrvmon.exe'); DeleteFile('c:\windows\system32\drivers\spools.exe'); DeleteFile('c:\windows\system32\microsoft\svchost.exe'); DeleteFile('c:\windows\system32\wmedia32.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\shell.exe'); DeleteFile('C:\WINDOWS\system32\LogCrypt.dll'); DeleteFile('C:\WINDOWS\system\hipsrv.mm'); DeleteFile('C:\WINDOWS\system32\drivers\Oaeo36.sys'); DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\WINDOWS\System32\ntos.exe'); DeleteFile('C:\WINDOWS\System32\printer.exe'); DeleteFile('C:\WINDOWS\System32\wowfx.dll'); DeleteFile('C:\WINDOWS\System32\yrgpit.dll'); DeleteFile('C:\WINDOWS\system32\wowfx.dll'); DeleteFile('C:\WINDOWS\twain_32.exe'); BC_DeleteSvc('Schedule'); BC_DeleteSvc('WinSecur05'); BC_DeleteSvc('Microsoft P2P2 Service'); BC_DeleteSvc('Microsoft Inet Servicea'); BC_DeleteSvc('Arp1349'); BC_DeleteSvc('CcEvtSvc'); BC_DeleteSvc('Oaeo36'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Новые логи
Последний раз редактировалось asale; 02.03.2008 в 10:22.
Все опять на месте! При выполнении скрипта было сообщение "Скрипт выполнен без ошибок" илирезко произошла перезагрузка?
I am not young enough to know everything...
отключитесь от интернета ...
выполните скрипт ...
выполните пункт 2 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('Schedule', 4); DeleteService('Schedule'); StopService('Schedule'); SetServiceStart('WinSecur05', 4); DeleteService('WinSecur05'); StopService('WinSecur05'); SetServiceStart('Microsoft P2P2 Service', 4); DeleteService('Microsoft P2P2 Service'); StopService('Microsoft P2P2 Service'); DeleteService('Microsoft Inet Servicea'); SetServiceStart('Microsoft Inet Servicea', 4); StopService('Microsoft Inet Servicea'); DeleteFile('c:\windows\temp\260c.tmp'); DeleteFile('C:\WINDOWS\system32\drivers\Oaeo36.sys'); DeleteFile('c:\windows\system32\_svchost.exe'); DeleteFile('c:\windows\system32\_svchosta.exe'); DeleteFile('c:\windows\system32\drivers\lssrv.exe'); DeleteFile('c:\windows\mmhren1.exe'); DeleteFile('c:\windows\system32\drivers\rsrvmon.exe'); DeleteFile('c:\windows\shell.exe'); DeleteFile('c:\windows\system32\drivers\spools.exe'); DeleteFile('c:\windows\system32\microsoft\svchost.exe'); DeleteFile('c:\windows\system32\winmed.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\mmhren1.exe'); DeleteFile('C:\WINDOWS\system32\LogCrypt.dll'); DeleteFile('C:\WINDOWS\system32\Microsoft\svchost.exe'); DeleteFile('C:\WINDOWS\System32\mstscex.dll'); DeleteFile('C:\WINDOWS\System32\winmed.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\yrgpit.dll'); DeleteFile('C:\WINDOWS\TEMP\ieobj.dll'); DeleteFile('C:\WINDOWS\system\hipsrv.mm'); DeleteFile('Oaeo36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\findfast.exe'); DeleteFile('C:\WINDOWS\System32\ntos.exe'); DeleteFile('C:\WINDOWS\System32\printer.exe'); DeleteFile('C:\WINDOWS\System32\spoolvs.exe'); DeleteFile('C:\WINDOWS\System32\wowfx.dll'); DeleteFile('C:\WINDOWS\TEMP\winlogan.exe'); DeleteFile('C:\WINDOWS\System32\wmedia32.exe'); DeleteFile('C:\WINDOWS\twain_32.exe'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\Hba26.sys'); DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys'); DeleteFile('C:\WINDOWS\system32\drivers\lssrv.exe'); DeleteFile('C:\WINDOWS\system32\drivers\rsrvmon.exe'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\system32\mstscex.dll'); DeleteFile('C:\WINDOWS\system32\netrfds228.exe'); DeleteFile('C:\WINDOWS\system32\netrfds319.exe'); DeleteFile('C:\WINDOWS\system32\netrfds331.exe'); DeleteFile('C:\WINDOWS\system32\netrfds367.exe'); DeleteFile('C:\WINDOWS\system32\netrfds374.exe'); DeleteFile('C:\WINDOWS\system32\netrfds376.exe'); DeleteFile('C:\WINDOWS\system32\netrfds379.exe'); DeleteFile('C:\WINDOWS\system32\netrfds388.exe'); DeleteFile('C:\WINDOWS\system32\netrfds395.exe'); DeleteFile('C:\WINDOWS\system32\oleauth32.dll'); DeleteFile('C:\WINDOWS\system32\printer.exe'); DeleteFile('C:\WINDOWS\system32\spoolvs.exe'); DeleteFile('C:\WINDOWS\system32\update1121.exe'); DeleteFile('C:\WINDOWS\system32\wmedia32.exe'); DeleteFile('C:\WINDOWS\system32\wowfx.dll'); DeleteFile('C:\WINDOWS\system32\yrgpit.dll'); DeleteFile('C:\WINDOWS\system32\_svchost.exe'); DeleteFile('C:\WINDOWS\system32\_svchosta.exe'); DeleteFile('C:\WINDOWS\Temp\385E.tmp'); DeleteFile('C:\WINDOWS\Temp\loader.exe'); BC_DeleteSvc('Schedule'); BC_DeleteSvc('WinSecur05'); BC_DeleteSvc('Microsoft P2P2 Service'); BC_DeleteSvc('Microsoft Inet Servicea'); BC_DeleteSvc('Arp1349'); BC_DeleteSvc('CcEvtSvc'); BC_DeleteSvc('Oaeo36'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Сейчас появилась инфо, что скрипты выполнены корректно. Компьютер перезагрузился.
Новые логи во вложении
Последний раз редактировалось asale; 02.03.2008 в 10:22.
не нужно цитировать сообщения .... поудаляейте лишнее из своих постов ....
Программу http://www.tksinc.us/downloads/WinsockXPFix.exe нужно скачать заранее ... после выполнения скрипта может пропасть интернет ... запишите настройки сети после применения WinsockXPFix их придется ввести заново ...
выполните скрипт ...
пофиксите ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Apwcmdnt.dll',''); DelBHO('{B3B010A1-A877-4CD7-BAB5-9EE8F9965E20}'); QuarantineFile('C:\WINDOWS\System32\Drivers\Yhn45.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\crypts.dll',''); DeleteFile('C:\WINDOWS\system32\crypts.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys'); DeleteFile('C:\WINDOWS\mmhren1.exe'); DeleteFile('LogCrypt.dll'); DeleteFile('C:\WINDOWS\TEMP\ieobj.dll'); DeleteFile('C:\Program Files\SanitarDiska\secure_del.dll'); DeleteFile('c:\windows\system32\apwcmdnt.dll'); DeleteFile('c:\program files\maryno.net\install_sbd_en.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...Код:O4 - HKLM\..\Run: [WMedia32] wmedia32.exe O4 - HKLM\..\Run: [WinMed] winmed.exe O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing) O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file)
Новые логи
Последний раз редактировалось asale; 02.03.2008 в 10:21.
скачать найти C:\WINDOWS\System32\Drivers\Yhn45.sys - force delete.
затем выполните скрипт авз ....
обязательно выполните пукт 2 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\program files\tmp88062.exe'); DeleteFile('c:\program files\tmp89015.exe'); DeleteFile('c:\program files\tmp89125.exe'); DeleteFile('c:\program files\tmp89390.exe'); DeleteFile('c:\program files\tmp90265.exe'); DeleteFile('c:\docume~1\86c2~1\locals~1\temp\winlook.exe'); DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winlook.exe'); DeleteFile('C:\Program Files\tmp88062.exe'); DeleteFile('C:\Program Files\tmp89015.exe'); DeleteFile('C:\Program Files\tmp89125.exe'); DeleteFile('C:\Program Files\tmp89390.exe'); DeleteFile('C:\Program Files\tmp90265.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys'); DeleteFile('C:\WINDOWS\mmhren1.exe'); DeleteFile('wowfx.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ....
Новые логи
Последний раз редактировалось asale; 02.03.2008 в 10:21.
даа...
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Добавлено через 3 минутыКод:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe O4 - HKLM\..\Run: [Printer] C:\WINDOWS\System32\printer.exe O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\System32\spoolvs.exe O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('hipsrv', 4); StopService('hipsrv'); QuarantineFile('c:\windows\installer\{62ebba09-60c3-4226-b8bb-bab9d91c1c5d}\monwin.dll',''); QuarantineFile('C:\WINDOWS\System32\spoolvs.exe',''); QuarantineFile('C:\WINDOWS\System32\printer.exe',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('Explorer.exe C:\WINDOWS\shell.exe',''); QuarantineFile('C:\WINDOWS\mmhren1.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe',''); QuarantineFile('C:\WINDOWS\system\hipsrv.mm',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Yhn45.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\Installer\{62ebba09-60c3-4226-b8bb-bab9d91c1c5d}\MonWin.dll',''); QuarantineFile('C:\WINDOWS\Installer\{bd6014ca-d0fe-4fa1-adea-69b0acbe87df}\zip.dll',''); QuarantineFile('c:\windows\shell.exe',''); DeleteFile('c:\windows\shell.exe'); DeleteFile('C:\WINDOWS\Installer\{bd6014ca-d0fe-4fa1-adea-69b0acbe87df}\zip.dll'); DeleteFile('C:\WINDOWS\Installer\{62ebba09-60c3-4226-b8bb-bab9d91c1c5d}\MonWin.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys'); DeleteFile('C:\WINDOWS\system\hipsrv.mm'); DeleteFile('C:\WINDOWS\mmhren1.exe'); DeleteFile('Explorer.exe C:\WINDOWS\shell.exe'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\spoolvs.exe'); DeleteService('hipsrv'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run'); BC_ImportALL; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18925
Повторите логи
Последний раз редактировалось akoK; 01.03.2008 в 13:32. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Пофиксил.
Новые логи
Последний раз редактировалось asale; 02.03.2008 в 10:22.
А вот теперь все новое
Последний раз редактировалось asale; 02.03.2008 в 10:22.
Дело движеться
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Добавлено через 2 минутыКод:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузитсяКод:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('WLCtrl32.dll'); BC_ImportDeletedList; BC_DeleteFile('c:\windows\system32\printer.exe'); BC_DeleteFile('C:\WINDOWS\System32\printer.exe'); BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys'); BC_DeleteFile('C:\WINDOWS\System32\spoolvs.exe'); BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); ExecuteRepair(17); ExecuteSysClean; RebootWindows(true); end.
Насколько я понял 3 стандартный скрипт не выполняеться? Попробуйте
Последний раз редактировалось akoK; 01.03.2008 в 13:55. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Сейчас выполнился корректно.
Новые логи во вложении
Последний раз редактировалось asale; 02.03.2008 в 10:22.
Уважаемый(ая) asale, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.